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网 络 攻防 表面 上 是 一 种 攻守 双方 的 技术 对 抗 ,其 实质 则 是 攻击 者 与 防守 者 之 间 的 力量 较 
量 ,是 人 与 人 之 间 的 智力 博弈 。 近 年 来 , 随 着 人 们 对 网 络 的 依赖 性 越 来 越 强 ,功能 各 异 
的 操作 系统 和 应 用 软件 在 丰富 了 网 络 应 用 的 同时 ,其 自身 存在 的 漏洞 也 成 为 网 络 攻击 
者 不 断 挖掘 和 利用 的 资源 。 网 络 攻防 是 一 种 矛 与 盾 的 关系 ,防守 者 总 希望 能 够 通过 获 
取 并 分 析 攻 击 者 的 痕迹 来 溯源 攻击 行为 ,并 制定 或 修改 防御 策略 。 
本 书 (包括 配套 的 《网络 攻击 与 防御 实 训 妨 是 江苏 省 高 等 学 校 重 点 教材 , 从 立项 之 
初 到 最 后 成 书 ,期 间 曾 多 易 其 稿 , 甚 至 将 第 一 稿 的 全 部 内 容 推 翻 进 行 重 写 。 在 写作 过 程 
中 克服 了 许多 困难 。 
一 是 内 容 确定 。 武 汉 大 学 张 焕 国 教授 曾经 用 ”信息 安全 是 信息 的 影子 ?来 比喻 信息 
与 信息 安全 之 间 的 关系 ,非常 确切 。 今 天 , 当 人 们 随时 随地 ,无时无刻 地 享受 着 即时 通 
信 撰写 博客 ,点 评 美食 .网 络 约 车 等 信息 技术 带 来 的 便捷 时 ,银行 账号 信息 窃取 .电信 
诈骗 .地 理 位 置信 息 泄露 等 信息 安全 问题 也 如 影 相 随 。 那 么 ,作为 一 本 课时 量 受 限 的 教 
材 来 说 ,又 该 如 何在 有 限 的 时 间 内 为 学 生 系统 介绍 信息 安全 领域 有 关 攻 击 与 防范 的 知 
识 呢 ? 本 书 立 足 作 者 多 年 来 从 事 信息 安全 实践 与 教学 科研 的 经 验 ,最 后 确定 将 操作 系 
统 .恶意 代码 .Web 服务 与 应 用 和 移动 互联 网 应 用 等 方面 的 攻防 作为 重点 进行 介绍 。 
二 是 内 容 组 织 。 从 攻防 的 角度 来 讲 , 本 书 的 每 一 章 都 可 以 单独 编 成 一 本 厚 厚 的 书 ， 
很 显然 这 不 适合 于 教学 。 本 套 书 将 理论 和 实践 分 开 , 本 书 重点 介绍 攻击 与 防御 中 涉及 
的 基础 知识 和 基本 理论 ,而 配套 的 (网 络 攻击 与 防御 实 训 ) 主 要 提供 具体 的 攻防 训练 , 通 
过 实 训 加 深 对 基础 知识 的 理解 ,并 培养 实践 动手 能 力 。 
三 是 知识 融合 。 就 攻击 和 防御 来 说 ,虽然 针对 每 一 个 具体 案例 在 知识 结构 上 具有 
相对 独立 性 ,但 不 同 案例 所 涉及 的 知识 点 和 实践 能 力 的 培养 具有 交叉 性 ,这 就 涉及 不 同 
章节 及 同一 章节 不 同 知识 点 之 间 的 融合 。 融 合 不 仅仅 是 内 容 上 的 有 效 组 织 , 更 是 培养 
目标 的 确定 ,以 及 培养 过 程 的 遵循 。 只 有 在 内 容 上 注重 相互 间 的 关联 ,在 教学 过 程 中 关 
注 理论 与 实践 之 间 的 结合 ,才能 最 后 实现 在 知识 上 融会 贯通 的 人 才 培 养 目标 。 
本 书 共 7 章 , 具 体内 容 简 述 如 下 。 
第 1 章 : 网 络 攻防 技术 概述 。 本 章 较 为 系统 地 介绍 网 络 攻 防 的 基础 知识 ,主要 包 
括 网 络 攻击 的 类 型 .方法 、 实 施 过 程 及 发 展 趋势 。 
第 2 章 : Windows 操作 系统 的 攻防 。 本 章 在 介绍 Windows 操作 系统 安全 机 制 的 基 
础 上 ,重点 从 数据 .进程 与 服务 日志、 系统 漏洞 .注册 表 等 方面 分 别 介绍 攻防 的 实现 方法 。 
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第 3 章 : Linux 操作 系统 的 攻防 。 本 章 在 介绍 Linux 操作 系统 工作 机 制 和 安全 机 制 的 
基础 上 ,分 别 介 绍 用 户 和 组 、 身 份 认证 ,访问 控制 ,日 志 等 的 安全 机 制 , 并 对 Linux 操作 系统 
的 远程 攻防 技术 和 用 户 提取 方法 进行 介绍 。 

第 4 章 : 恶意 代码 的 攻防 。 恶 意 代 码 包括 的 内 容 较 多 ,而 且 相 关内 容 的 发 展 较 快 。 本 
章 重 点 对 计算 机 病毒 .蠕虫 木马 \ 后 门 、 僵 尸 网 络 和 Rootkit 等 典型 恶意 代码 从 攻击 与 防范 
两 个 层面 进行 较为 系统 的 介绍 。 

第 5 章 : Web 服务 器 的 攻防 。 本 章 在 对 比分 析 了 C/S 结构 和 B/S 结构 及 安全 机 制 的 
基础 上 ,从 Web 服务 器 的 组 成 出 发 ,重点 介绍 Web 服务 器 信息 的 收集 方法 、Web 数据 的 攻 
防 、Web 应 用 程序 的 攻防 及 Web 服务 器 软件 的 攻防 等 内 容 。 

第 6 章 : Web 浏览 器 的 攻防 。 本 章 与 第 5 章 的 内 容 相互 照应 ,但 重点 不 同 。 本 章 主要 
从 Web 浏览 器 安全 应 用 出 发 ,从 浏览 器 插件 和 脚本 Cookie、 网 页 木马 、 网 络 钓鱼 . 黑 链 攻击 
等 方面 ,介绍 针对 Web 浏览 器 的 攻击 与 防范 方法 。 

第 7 章 : 移动 互联 网 应 用 的 攻防 。 作 为 近年 来 发 展 迅 速 的 移动 互联 网 应 用 及 存在 的 主 
要 安全 问题 ,本 章 立 足 于 应 用 安全 ,通过 大 量 的 案例 介绍 ,从 技术 和 非 技术 两 个 层面 介绍 相 
关 的 安全 问题 ,并 提出 相应 的 安全 防范 方法 。 

本 书 在 编写 过 程 中 得 到 了 许多 同事 和 同行 的 无 私 帮 助 和 支持 ,在 项 目 申请 和 出 版 过 程 
中 得 到 了 清华 大 学 出 版 社 编辑 老师 的 关心 和 帮助 ,我 的 同事 倪 雪 莉 老 师 和 刘 家 银 老师 对 全 
书 的 文字 进行 了 校对 。 同 时 ,本 书 的 编写 参考 了 大 量 的 文献 资料 ,尤其 是 国内 外 著名 安全 企 
业 的 技术 手册 ,有 些 未 能 在 参考 文献 中 标明 。 在 此 一 并 表示 惠 心 的 感谢 ! 

由 于 作者 水 平 有 限 , 书 中 难免 有 不 足 之 处 , 敬 请 读者 提出 宝贵 意见 。 
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第 1 章 网 络 攻防 技术 概述 


近年 来 ,世界 各 国 对 网 络 空间 的 争夺 日 益 激烈 ,针对 网 络 空间 的 控制 信息 权 和 话语 权 成 
为 新 的 战略 制高点 ; 现实 空间 的 渗透 和 恐怖 约 击 正 与 网 络 空间 的 渗透 和 恐怖 袭击 紧密 地 结 
合 在 一 起 ,成 为 人 类 社会 面临 的 新 威胁 ; 不 断 增长 和 扩散 的 计算 机 病毒 (如 木马 蠕虫 )、 黑 
客 攻击 等 大 量 信 息 时代 的 “衍生 物 ”, 正 在 对 信息 化 程度 较 高 的 金融 、 交 通 、 商 业 、 医 疗 、 通 信 、 
电力 等 重要 国家 基础 设施 造成 严重 的 破坏 ,成 为 影响 国家 安全 的 新 威胁 。 保 护 网 络 空 间 安 
全 作为 重大 挑战 之 一 ,已 与 防止 核 丽 怖 事件 ,利用 核 聚变 能 量 等 一 起 被 列 为 21 世纪 亚 待 解 
决 的 难题 。 本 章 立 足 网 络 空间 安全 ,介绍 网 络 攻防 的 基本 概念 和 相关 技术 。 


1.1 黑客 , 红 客 及 红 黑 对 抗 


计算 机 的 出 现 使 程序 的 自动 运行 变 成 了 现实 ,而 网 络 技 术 的 应 用 使 信息 成 为 物质 和 能 
量 以 外 维护 人 类 社会 的 第 三 资源 。 随 着 计算 机 应 用 的 普及 、Internet 的 飞速 发 展 和 黑客 、 红 
客 等 概念 出 现 , 涉 及 黑客 与 红 客 之 间 博 弈 的 红 黑 对 抗 越 来 越 引 起 社会 的 关注 。 


1.1.1 黑客 与 红 客 


1. 黑客 

黑客 (hacker) 原 是 正面 形象 , 特 指 那些 技术 高 超 、 爱 好 钻研 计算 机 技术 ,能 够 洞察 到 各 
类 计算 机 安全 问题 并 加 以 解决 的 技术 人 员 。 在 这 一 定义 中 ,黑客 不 具有 恶意 破坏 计算 机 系 
统 和 扰乱 网 络 正 常 运 行 秩序 的 特征 ,而 是 安全 的 守护 者 和 捍卫 者 。 其 中 ,将 挖掘 并 公开 漏洞 
的 黑客 称 为 白 帽 ,而 白 帆 网 站 (如 乌云 网 ) 则 是 一 个 供 白 帽 \ 安 全 厂商 和 安全 研究 者 对 安全 漏 
洞 等 问题 进行 公开 和 反馈 的 网 络 平台 ,也 是 互联 网 安全 研究 者 学 习 交流 和 研究 的 平台 。 

今天 的 黑客 又 称 为 “ 骇 客 ”cracker) ,描述 为 熟悉 计算 机 操作 系统 的 原理 且 能 够 及 时 发 
现 和 利用 操作 系统 存在 的 安全 漏洞 , 借 此 实施 非法 入 侵 、 窃 取 、 破 坏 等 行为 的 计算 机 捣乱 分 
子 或 计算 机 犯罪 分 子 。 

黑客 和 骇 客 之 间 的 差异 性 主要 表现 在 以 下 几 个 方面 。 

(1) 黑客 是 系统 安全 的 守卫 者 ,所 从 事 的 工作 是 建设 性 的 ; 而 骇 客 则 是 系统 安全 的 破 
坏 者 ,所 从 事 的 是 破坏 行为 。 

(2) 虽然 黑客 和 骇 客 都 是 利用 自己 掌握 的 计算 机 技术 ,设法 在 未 经 授权 的 情况 下 访问 
计算 机 文件 或 网 络 , 是 计算 机 系统 和 网 络 的 入侵 者 。 但 黑客 在 成 功 入 侵 后 进行 的 操作 不 是 
恶意 破坏 性 的 ,而 是 有 建设 性 的 ,而 骇 客 则 不 然 。 

(3) 由 于 运行 程序 是 计算 机 的 唯一 功能 ,所 以 黑客 需要 掌握 计算 机 编程 能 力 , 而 骇 客 一 
般 不 具有 此 能 力 ,通常 只 掌握 一 些 入 侵 和 扫描 工具 的 使 用 方法 ,并 利用 这 些 工 具 人 侵 他 人 系 
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20 世纪 90 年 代 ,Internet 在 中 国 快速 发 展 ,国内 一 批 计 算 机 技术 爱好 者 开始 研究 安全 
漏洞 ,并 通过 网 络 分 享 自己 的 研究 成 果 ,成 为 第 一 批 黑 客 群 体 。 之 后 , 随 着 越 来 越 多 的 安全 
漏洞 被 发 现 , 一 些 人 意识 到 了 其 利用 价值 ,买卖 漏洞 恶意 代码 的 现象 开始 在 黑客 中 出 现 , 黑 
客 群体 开始 向 两 极 分 化 。 以 赢利 为 目的 的 网 络 攻 击 行为 促使 了 黑色 产业 链 的 产生 和 迅猛 发 
展 ,而 崇尚 分 享 、 自 由 、 开 放 的 最 为 纯正 的 黑客 精神 逐渐 走向 消亡 。 

现在 的 黑客 特 指 假 借 名 义 控制 他 人 计算 机 的 特殊 人 群 ,可 以 称 为 通过 使 用 已 有 工具 软 
件 对 计算 机 系统 进行 攻击 和 控制 的 软件 黑客 (software cracker) 或 脚本 小 子 (script kids)。 
软件 黑客 和 脚本 小 子 继承 了 骇 客 的 破坏 性 特征 ,而 缺乏 原本 黑客 应 有 的 高 深 技术 。 在 现实 
网 络 空间 中 ,真正 对 网 络 进行 破坏 的 ,往往 不 是 那些 挖掘 并 研究 漏洞 的 黑客 ,而 是 软件 黑客 
或 脚本 小 子 。 如 不 做 特殊 说 明 , 本 书 中 所 讲 的 黑客 一 般 是 指 软件 黑客 。 

2. 红 客 

红 客 (honker) 是 信息 安全 的 守卫 者 , 除 在 技术 上 具备 传统 黑客 的 能 力 外 ,还 需要 具有 
“正义 感 ”能 够 有 效 阻止 计算 机 系统 和 网 络 的 破坏 行为 ,确保 用 户 能 够 按 既 定 的 秩序 在 系统 
中 提供 或 获得 服务 。 红 客 的 本 意 是 维护 系统 的 秩序 ,减少 系统 的 不 安全 因素 。 

黑客 在 某 种 意义 上 代表 着 “ 卯 恶 ", 因 此 黑客 的 行为 都 是 在 隐蔽 环境 下 进行 的 。 而 红 客 
代表 的 是 “正义 ”, 所 以 红 客 的 行动 一 般 都 是 公开 的 ,可 以 充分 运用 技术 和 非 技术 (如 法 律 .法 
规 、 管 理 制度 等 ) 手 段 来 捍卫 系统 的 安全 。 在 中 国 , 红 色 代 表 着 正义 、. 进步 和 强大 , 红 客 除草 
含 着 技术 能 力 外 ,还 映射 着 一 种 正 能 量 和 正面 精神 , 即 具 有 正义 感 、 爱 国情 怀 和 进取 精神 的 
从 事 网 络 安全 的 黑客 。 


1.1.2 红 黑 对 抗 


网 络 空 间 是 继 陆 、 海 、 空 .天 领域 之 后 的 第 五 维 空间 , 它 是 以 自然 存在 的 电磁 能 为 载体 ， 
人 工 网 络 为 平台 ,信息 控制 为 目的 的 空间 。 网 络 空间 包括 电子 系统 、 计 算 机 、 通 信和 网 络 和 其 
他 信息 基础 设施 ,通过 对 信息 的 采集 ,存储 ,修改 、 交 换 、 分 析 和 利用 ,实现 对 物理 实体 的 实时 
控制 ,影响 人 的 认 知 活动 和 社会 行为 。 网 络 空 间 已 经 成 为 当前 国家 最 重要 的 基础 设施 之 一 ， 
网 络 空间 安全 对 抗 也 成 为 捍卫 国家 安全 的 重要 使 命 。 

网 络 攻防 的 实质 是 网 络 空间 中 人 与 人 之 间 的 智力 博弈 ,其 表现 形式 为 红 客 与 黑客 之 间 
的 对 抗 , 即 “ 红 黑 对 抗 "。 互 联网 本 身 是 不 健壮 的 ,但 在 设计 之 初 被 认为 是 安全 的 。 红 黑 对 抗 
是 一 种 正义 与 非 正义 之 间 的 斗争 。 在 网 络 空间 中 ,攻击 者 与 防卫 者 就 是 一 种 矛 与 盾 的 关系 ， 
矛 希 望 能 够 刺 穿 盾 , 盾 则 希望 能 够 阻挡 矛 。 信 息 安 全 领域 中 的 红 黑 对 抗 就 是 这 样 一 个 互相 
抗衡 ,此 消 彼 长 的 动态 过 程 。 红 客 和 黑客 连续 不 断 的 网 络 攻防 对 抗 , 导 致 了 网 络 秩序 失去 平 
衡 。 红 黑 对 抗 是 伴随 着 信息 技术 的 发 展 而 不 断 演进 的 。 

在 教学 环节 中 ,网 络 攻防 可 通过 配置 虚拟 网 络 实验 环境 ,在 虚拟 的 、 高 实时 、 强 交互 、 网 
络 拓 扑 结构 处 于 高 度 不 稳定 状态 的 网 络 中 ,对 基于 过 程 的 网 络 行为 分 析 、 网 络 跟踪 、 网 络 主 
动 防御 等 技术 进行 研究 。 通 过 网 络 攻击 和 防御 技术 的 模拟 ,再 现 攻击 和 防御 的 博弈 过 程 。 
网 络 攻防 不 仅 是 一 种 攻击 和 防御 的 实施 方法 ,而 且 可 以 为 网 络 的 可 恢复 性 .灵活 性 和 安全 性 
评估 提供 技术 指导 。 

作为 应 用 数学 分 支 之 一 的 博弈 论 是 一 套 研究 智能 的 理性 决策 者 之 间 冲 突 与 合作 的 策略 
选择 理论 ,而 网 络 空 间 中 的 攻防 本 身 就 是 一 种 冲突 ,攻击 与 防御 在 方法 和 技术 上 的 较量 归根 
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到 底 就 是 攻防 双方 在 决策 上 的 博弈 。 模 型 创建 是 网 络 攻防 的 基础 ,通过 建立 和 分 析 网 络 攻 
防 博弈 模型 ,可 以 评测 攻防 双方 的 既定 策略 ,并 基于 攻防 双方 的 驱动 与 能 力 ,获得 纵深 的 策 
略 集合 甚至 是 攻防 均衡 点 ,使 防御 方 能 够 基于 最 小 的 代价 获得 最 大 的 安全 收益 ,为 网 络 攻防 
提供 理论 依据 。 


1.2 网 络 攻击 的 类 型 


网 络 攻 击 是 指 任何 非 授 权 而 进入 或 试图 进入 他 人 计算 机 网 络 的 行为 ,是 入 侵 者 实现 入 
侵 目 的 所 采取 的 技术 手段 和 方法 。 这 种 行为 包括 对 整个 网 络 的 攻击 ,也 包括 对 网 络 中 的 服 
务 器 、 防 火 墙 、 路 由 器 等 单个 节点 的 攻击 ,还 包括 对 节点 上 运行 的 某 一 个 应 用 系统 或 应 用 软 
件 的 攻击 。 根 据 攻 击 实现 方法 的 不 同 ,可 以 分 为 主动 攻击 和 被 动 攻击 两 种 类 型 。 


1.2.1 主动 攻击 


主动 攻击 是 指 攻击 者 为 了 实现 攻击 目的 ,主动 对 需要 访问 的 信息 进行 非 授权 的 访问 行 
为 。 例 如 ,通过 远程 登录 服务 器 的 TCP 25 号 端口 搜索 正在 运行 的 服务 器 的 信息 ,在 TCP 
连接 建立 时 通过 伪造 无 效 IP 地 址 耗 尽 目的 主机 的 资源 等 。 主 动 攻 击 的 实现 方法 较 多 ,针对 
信息 安全 的 可 用 性 ,完整 性 和 真实 性 ,主动 攻击 一 般 可 以 分 为 中 断 、 自 改 和 伪造 3 种 类 型 。 

1. 中 断 

中 断 主要 针对 的 是 信息 安全 中 的 可 用 性 。 可 用 性 (availability) 是 指 授 权 实 体 按 需 对 信 
息 的 取得 能 力 ,强调 的 是 信息 系统 的 稳定 性 ,只 有 系统 运行 稳定 ,才能 确保 授权 实体 对 信息 
的 随时 访问 和 操作 。 可 用 性 同时 强调 的 是 一 种 持续 服务 能 力 , 这 种 能 力 的 实现 需要 立足 系 
统 的 整体 架构 来 解决 可 能 存在 的 安全 问题 ,降低 安全 风险 。 中 断 是 针对 系统 可 用 性 的 攻击 ， 
主要 通过 破坏 计算 机 硬件 、 网 络 和 文件 管理 系统 来 实现 。 拒 绝 服 务 是 最 常见 的 中 断 攻 击 方 
式 , 除 此 之 外 ,针对 身份 识别 ,访问 控制 审计 跟踪 等 应 用 的 攻击 也 属于 中 断 。 

2. 算 改 

算 改 针对 的 是 信息 安全 中 的 完整 性 。 完 整 性 (integrity) 是 指 防止 信息 在 未 经 授权 的 情 
况 下 被 算 改 ,强调 保持 信息 的 原始 性 和 真实 性 ,防止 信息 被 蓄意 地 修改 、 插 入 、 删 除 、 伪 造 、 乱 
序 和 重 放 , 以 致 形成 虚假 信息 。 在 计算 机 系统 和 网 络 环境 中 ,信息 所 具有 的 数字 化 特征 , 臻 
使 信息 被 算 改 的 可 能 性 和 可 操作 性 要 比 传统 纸 介质 简单 得 多 ,为 此 算 改 也 成 为 了 网 络 攻 击 
过 程 中 较 常 使 用 的 一 种 危害 性 较 大 的 攻击 类 型 。 

完整 性 要 求 保持 信息 的 原始 性 , 即 信 息 的 正确 生成 .存储 和 传输 。 在 网 络 环 境 中 ,信息 
的 完整 性 一 般 通过 协议 、 纠 错 编码 .数字 签名 、 校 验 等 方式 来 实现 。 针 对 这 些 实现 方法 , 自 改 
攻击 则 会 利用 存在 的 漏洞 破坏 原 有 的 机 制 ,达到 攻击 目的 。 例 如 ,通过 安全 协议 可 以 有 效 地 
检测 出 信息 存储 和 传输 过 程 中 出 现 的 全 部 或 部 分 被 复制 ,删除 、 失 效 等 行为 ,但 攻击 者 也 可 
以 破坏 或 扰乱 相关 安全 协议 的 执行 ,进而 使 安全 协议 丧失 应 有 的 功能 。 

3. 伪造 

伪造 针对 的 是 信息 安全 中 的 真实 性 。 真 实 性 (validity) 是 指 某 个 实体 (人 或 系统 ) 冒 充 
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成 其 他 实体 ,发 出 含有 其 他 实体 身份 信息 的 数据 信息 ,从 而 以 欺骗 方式 获取 一 些 合法 用 户 的 
权利 和 特权 。 伪 造 主要 用 于 对 身份 认证 和 资源 授权 的 攻击 ,攻击 者 在 获得 合法 用 户 的 用 户 
名 和 密码 等 账户 信息 后 ,假冒 成 合法 用 户 非法 访问 授权 资源 或 进行 非法 操作 。 例 如 , 当 攻击 
者 冒充 为 系统 管理 员 后 ,可 拥有 对 系统 的 最 高 权限 ,进而 对 系统 进行 任意 的 参数 修改 、 功 能 
设置 .账户 管理 等 操作 ,对 系统 安全 产生 严重 威胁 。 

在 一 个 授权 访问 系统 中 ,认证 系统 的 功能 是 使 信息 接收 者 相信 所 接收 到 的 信息 确实 是 
由 该 信息 声称 的 发 送 者 发 出 的 , 即 信 息 发 送 者 的 身份 是 可 信赖 的 。 另 外 ,认证 系统 或 协议 需 
要 保证 通信 双方 的 通信 连接 不 能 被 第 三 方 介入 ,防止 攻击 者 假冒 其 中 的 一 方 进行 数据 的 非 
法 接收 或 传输 。 


1.2.2 被 动 攻击 


被 动 攻击 是 利用 网 络 存在 的 漏洞 和 安全 缺陷 对 网 络 系统 的 硬件 .软件 及 系统 中 的 数据 
进行 的 攻击 。 被 动 攻 击 一 般 不 会 对 数据 进行 自 改 ,而 是 利用 截取 或 窃听 等 方式 在 未 经 用 户 
授权 的 情况 下 对 消息 内 容 进行 获取 ,或 者 对 业务 数据 流 进行 分 析 。 被 动 攻击 主要 分 为 窃听 
和 流量 分 析 两 种 方式 。 

1. 窃听 

窃听 原本 指 偷 听 别 人 之 间 的 谈话 , 随 着 通信 技术 的 应 用 和 发 展 ,窃听 的 含义 早已 超出 了 
偷 听 和 搭 线 截 听 电话 的 概念 ,开始 借助 于 技术 手段 窃取 网 络 中 的 信息 , 既 包括 以 明文 形式 保 
存 和 传输 的 信息 ,也 包括 通过 数据 加 密 技 术 处 理 后 的 密 文 信息 。 

一 些 窃听 的 实现 需要 打破 原 有 的 工作 机 制 , 如 对 加 密 后 密 文 的 窃听 需要 对 获取 的 密 文 
进行 破解 后 才能 得 到 明文 信息 。 而 有 些 窃听 的 实现 则 利用 了 网 络 已 有 的 工作 机 制 ,如 目前 
广泛 使 用 的 以 太 网 是 一 种 广播 类 型 的 分 组 网 络 , 任 何 一 台 接 入 以 太 网 的 计算 机 都 可 以 接收 
到 本 网 段 中 的 广播 分 组 , 当 网 卡 设置 为 混杂 模式 时 可 以 接收 到 本 网 段 中 的 所 有 分 组 , 若 网 络 
通信 没有 采用 加 密 机 制 , 便 可 以 通过 协议 分 析 获 知 全 部 的 报 文 信息 。 例 如 ,无 线 局 域 网 
(Wireless Local Area Networks,WLAN) 目前 采用 2. 4GHz 和 5. 0GHz 两 个 微波 频段 通 
信 , 巾 于 微波 信号 以 电磁 波 的 形式 在 开放 空间 中 传输 ,所 以 任何 一 台 工 作 在 该 频段 的 设备 在 
信号 传输 的 有 效 范围 内 都 可 以 接收 到 承载 着 各 类 信息 的 信号 ,然后 通过 信号 分 析 便 可 以 恢 
复 得 到 原始 信号 。 

2. 流量 分 析 

数据 在 网 络 中 传输 时 都 以 流量 进行 描述 ,流量 分 析 建立 在 数据 拦截 的 基础 上 ,对 截获 的 
数据 根据 需要 进行 定向 分 析 。Internet 中 ,流量 在 节点 之 间 传 输 时 都 需要 遵循 TCP/IP 体 
系 结构 所 确定 的 协议 ,在 分 层 模型 中 每 一 层 对 网 络 流量 的 格式 定义 称 为 协议 数据 单元 
(Protocol Data Unit,PDU)。 其 中 ,物理 层 的 PDU 称 为 数据 位 (bit) ,数据 链 路 层 的 PDU 称 
为 数据 帧 (frame), 网 络 层 的 PDU 称 为 分 组 (packet), 传 输 层 的 PDU 称 为 数据 段 
(segment) ,应 用 层 的 PDU 统一 称 为 报 文 (message) 。 

流量 分 析 攻 击 可 以 针对 分 层 结构 的 每 一 层 , 最 直接 的 是 通过 对 应 用 层 报 文 的 攻击 直接 
获得 用 户 的 数据 。 对 于 传输 层 及 其 以 下 层 的 PDU 虽然 无 法 直接 获得 具体 的 信息 ,但 攻击 
者 通过 对 获取 的 PDU 的 分 析 , 便 可 以 确定 通信 双方 的 MAC 地 址 、IP 地 址 、 通 信 时 长 等 , 进 
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而 确定 通信 双方 所 在 位 置 、 传 输 的 数据 类 型 .通信 的 频 度 等 ,这 些 信息 为 进一步 实施 后 续 的 
攻击 提供 了 重要 依据 。 例 如 ,通过 对 通信 双方 所 占用 带宽 和 通信 时 长 的 分 析 , 便 可 以 知道 双 
方 信息 交换 的 信息 类 型 ; 通过 对 流量 的 协议 分 析 , 便 可 以 推断 出 用 户 数据 的 类 型 ; 通过 对 
异常 流量 的 分 析 , 可 以 判定 网 络 是 否 存在 攻击 等 。 


1.3 网 络 攻击 的 属性 


网 络 攻击 的 实施 是 一 个 系列 过 程 , 同 时 涉及 技术 和 非 技术 因素 。 对 于 任何 一 个 攻击 来 
说 其 实施 过 程 都 不 是 单一 的 ,而 是 由 一 个 或 多 个 不 同 阶段 组 成 的 ,其 中 不 同 的 阶段 体现 出 不 
同 的 攻击 特点 。 研 究 网 络 攻击 的 目的 是 通过 掌握 攻击 的 实施 过 程 来 确定 对 应 的 防御 方法 。 
攻击 涉及 安全 ,而 安全 具有 相对 性 ,所 以 在 具体 的 研究 过 程 中 , 受 研 究 条件 、 研 究 环境 .把 控 
能 力 等 因素 的 影响 ,人 们 对 各 种 网 络 攻击 的 理解 不 尽 相同 ,进而 对 网 络 攻击 的 判定 和 特征 的 
提取 方法 也 不 相同 ,对 网 络 攻击 及 其 造成 危害 或 威胁 的 认识 程序 也 不 一 致 ,从 而 对 网 络 的 防 
御 带 来 了 一 定 的 困难 。 为 便于 对 攻击 过 程 的 理解 ,本 节选 择 从 攻击 中 抽取 属性 的 方法 ,将 攻 
击 分 为 权限 ,转换 方法 和 动作 3 种 类 型 。 


1.3.1 权限 


网 络 中 的 权限 用 于 确定 谁 能 够 访问 某 一 系统 及 能 够 访问 这 一 系统 上 的 哪些 资源 。 对 于 
任何 一 个 授权 访问 系统 来 说 ,权限 管理 对 其 安全 性 是 非常 重要 的 。 以 Windows Server 操作 
系统 来 说 ,用 户 被 分 成 多 个 组 ,每 个 组 设置 了 不 同 的 权限 ,组 与 组 之 间 的 权限 不 同 。 其 中 ， 
Administrators( 管 理 员 组 ) 默 认 具 有 最 高 的 权限 ,位 于 该 组 中 的 用 户 可 以 对 计算 机 或 域 进行 
任意 权限 的 操作 ; Power Users( 高 级 用 户 组 ) 中 的 用 户 可 以 执行 除了 为 Administrators 组 
保留 的 任务 外 的 其 他 任何 操作 系统 任务 ,其 权限 仅 次 于 Administrators; Users( 普 通用 户 
组 ) 中 的 用 户 可 以 运行 经 过 验证 的 应 用 程序 ,但 无 法 修改 操作 系统 的 设置 或 用 户 信息 。 通 过 
对 不 同类 型 的 用 户 设 置 不 同 的 权限 ,可 以 加 强 对 用 户 的 分 类 管理 ,以 提高 系统 的 安全 性 。 

根据 访问 方式 的 不 同 ,权限 又 分 为 远程 网 络 访问 、 本 地 网 络 访问 、 用 户 访 问 、 超 级 网 络 管 
理 员 访 问 和 对 主机 的 物理 访问 等 类 型 。 任 意 一 种 访问 如 果 被 恶意 利用 , 便 构 成 了 针对 该 访 
问 方式 的 攻击 。 

1. 远程 网 络 访问 攻击 

远程 网 络 访 问 攻击 属于 一 种 外 部 攻击 方式 , 它 是 通过 各 种 手段 ,从 被 攻击 者 所 在 网 络 外 
发 起 的 攻击 行为 。 

2. 本 地 网 络 访问 攻击 

本 地 网 络 访问 攻击 属于 一 种 内 部 攻击 方式 ,攻击 者 和 被 攻击 者 属于 同一 个 网 络 ( 多 为 内 
部 局 域 网 ) ,也 可 能 是 攻击 者 为 了 隐藏 自己 的 真实 身份 ,从 本 网 络 获取 了 被 攻击 者 的 必要 信 
息 后 ,从 外 部 发 起 攻击 ,造成 外 部 入 侵 的 假象 。 

3. 用 户 访问 攻击 

用 户 访 问 攻击 属于 利用 账户 的 攻击 方式 ,攻击 者 在 非法 获得 了 合法 用 户 账户 信息 后 , 冒 
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充 合 法 用 户 访问 系统 或 资源 。 

4. 超级 网 络 管理 访问 攻击 

超级 网 络 管理 访问 攻击 属于 利用 账户 的 攻击 方式 ,攻击 者 在 非法 获得 了 系统 管理 员 的 
账户 信息 后 ,冒充 系统 管理 员 对 系统 进行 非法 的 操作 。 

5. 对 主机 的 物理 访问 攻击 

作为 内 部 攻击 方式 时 ,攻击 者 通常 获得 能 够 直接 接触 被 攻击 主机 的 机 会 ,对 主机 进行 物 
理 破坏 ; 作为 外 部 攻击 方式 时 ,攻击 者 在 入 侵 被 攻击 对 象 后 通过 植 入 木马 或 病毒 对 内 存 或 
硬盘 等 主机 的 硬件 进行 破坏 。 


1.3.2 转换 方法 


转换 方法 是 指 攻 击 者 对 已 有 漏洞 的 利用 。 攻 击 过 程 的 实施 需要 借助 通信 机 制 ,通过 对 
已 有 机 制 存在 的 漏洞 的 利用 来 实现 。 转 换 方法 主要 包括 以 下 几 种 。 

1. 伪装 

伪装 就 是 将 攻击 者 的 秘密 信息 隐藏 于 正常 的 非 秘密 文件 中 ,常见 的 有 图 像 、 声 音 、 视 频 
等 多 媒体 数字 文件 。 伪 装 技术 不 同 于 传统 的 加 密 技术 ,加 密 操作 仅仅 隐藏 了 信息 的 内 容 , 而 
信息 伪装 不 但 隐藏 了 信息 的 内 容 而 且 隐 藏 了 信息 的 存在 。 伪 装 攻 击 最 大 特点 是 具有 隐蔽 
性 ,不 易 被 发 现 。 

2. 滥用 

滥用 主要 是 指针 对 系统 功能 和 权限 的 非法 利用 。 例 如 ,针对 权限 的 滥用 多 是 指 服务 端 
开放 的 功能 超出 了 实际 的 需求 ,或 者 服务 端 开放 的 权限 对 具体 需求 的 限制 不 严格 ,导致 攻击 
者 可 以 通过 直接 或 间接 调用 的 方式 达到 攻击 效果 。 

3. 执行 缺陷 

缺陷 (Bug) 是 指 系 统 或 程序 中 隐藏 着 的 一 些 未 被 发 现 的 错误 或 不 足 , 程 序 设计 中 存在 
的 缺陷 会 导致 功能 不 正常 或 运行 不 稳定 。 执 行 缺陷 是 指 攻 击 者 对 系统 或 程序 中 缺陷 的 发 现 
和 利用 。 

4. 系统 误 设 

用 户 需 求 的 多 元 化 导致 了 应 用 系统 功能 的 多 样 性 ,但 对 于 某 一 个 具体 的 应 用 来 说 其 功 
能 需求 是 确定 的 。 然 而 ,在 系统 部 署 过程 中 , 受 技术 熟练 程度 .需求 掌握 情况 及 安全 意识 等 
方面 的 限制 ,对 系统 功能 的 设置 往往 没有 做 到 与 具体 功能 的 对 应 ,出现 了 超出 预定 需求 甚至 
是 错误 的 设置 。 错 误 设 置 尤其 是 安全 功能 的 错误 设置 一 旦 被 攻击 者 利用 ,就 会 对 安全 造成 
威胁 。 

5. 社会 工程 学 

社会 工程 学 被 认为 是 反映 当代 社会 现象 发 展 复杂 性 程度 的 一 门 综合 性 的 社会 科学 ,其 
目标 是 对 各 种 社会 问题 进行 实例 分 析 和 解决 。 它 并 不 是 将 人 文科 学 ,社会 科学 、 自 然 科学 的 
知识 与 技术 简单 相 加 ,而 是 根据 计划 、 政 策 的 概念 ,在 重 构 这 些 知 识 和 技术 的 基础 上 ,进行 新 
的 探索 和 整合 。 社 会 工程 学 攻击 是 一 种 针对 受害 者 本 能 反应 、 好 奇 心 、 信 任 、 贪 禁 等 心理 陷 
阱 采取 诸如 欺骗 、 伤 害 等 危害 手段 ,获得 自身 利益 的 手法 。 传 统 的 计算 机 攻击 者 在 系统 入 侵 
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的 环境 下 存在 很 多 的 局 限 性 ,而 新 的 社会 工程 学 攻击 则 将 充分 发 挥 其 优势 ,通过 利用 人 为 的 
漏洞 缺陷 进行 欺骗 来 获取 系统 控制 权 。 这 种 攻击 表面 上 难以 察觉 ,不 需要 与 受害 者 目标 进 
行 面对面 的 交流 ,不 会 在 系统 中 留 下 任何 可 被 追查 的 日 志 记录 。 


1.3.3 动作 


动作 是 指 攻击 实施 过 程 中 的 具体 行为 或 采用 的 方法 ,主要 包括 以 下 几 种 。 

1. 探测 

探测 是 指 对 计算 机 网 络 或 服务 器 进行 扫描 ,以 获取 有 效 IP 地 址 、 活 动 端口 号 、 主 机 操作 
系统 类 型 和 安全 弱点 的 攻击 方式 。 探 测 主要 用 扫描 器 作 攻 击 工 具 , 扫 描 器 是 一 种 自动 检测 
远程 或 本 地 主机 在 安全 性 方面 弱点 的 程序 包 。 例 如 ,用 一 个 TCP 端口 扫描 工具 选择 要 扫描 
的 TCP 端口 或 服务 器 ,记录 下 目标 主机 的 应 答 , 以 此 获得 有 关 目 标 主机 的 信息 。 理 解 和 分 
析 这 些 信息 ,就 可 能 发 现 破坏 目标 主机 安全 性 的 因素 。 

2. 拒绝 服务 

1) 拒绝 服务 (Deny of Service,DoS) 攻 击 

通过 连续 向 攻击 目标 发 送 超出 其 处 理 能 力 的 过 量 数据 ,消耗 其 有 限 的 网 络 链 路 或 操作 
系统 资源 ,使 之 无 法 为 合法 用 户 提 供 有 效 服务 。DoS 攻击 可 分 为 两 种 形式 : 一 是 利用 目标 
系统 或 软件 漏洞 ,发 送 一 个 或 多 个 精心 构造 的 数据 包 给 目标 系统 ,让 被 攻击 系统 崩溃 .运行 
异常 或 重启 等 ,导致 无 法 为 正常 用 户 提供 服务 。 例 如 , ping-of-death 攻击 发 送 大 容量 的 
ICMP ping 包 给 被 攻击 系统 ,这 些 ping 包 会 被 分 片 重组 , 某 些 操作 系统 设计 不 完善 可 能 会 
因为 缓冲 区 溢出 而 重启 、. 骨 溃 ; 另 一 种 称 为 洪 泛 攻击 , 它 让 无 用 的 信息 占 去 系统 的 带宽 或 其 
他 资源 ,使 得 系统 不 能 服务 于 合法 用 户 。 

2) 分 布 式 拒绝 服务 (Distributed DoS,DDoS) 攻 击 

传统 DoS 攻击 中 的 数据 包 来 自 一 个 固定 的 攻击 源 ,而 DDoS 攻击 中 的 数据 包 来 自 不 同 
的 攻击 源 , 即 利用 网 络 中 不 同 的 主机 同时 发 起 DoS 攻击 ,使 得 被 攻击 对 象 不 能 服务 于 正常 
用 户 。DDoS 攻击 因为 使 用 了 不 同 的 攻击 源 ,攻击 效果 被 放大 。 典 型 的 DDoS 攻击 包含 4 
个 方面 的 要 素 : 实际 攻击 者 ; @ 用 来 隐藏 攻击 者 身份 的 机 器 ,可 能 会 被 隐藏 多 级 ,该 机 器 
一 般 用 于 控制 僵尸 网 络 (实际 发 起 攻击 的 机 器 ) 并 发 送 攻击 命令 ; 图 实际 进行 DDoS 攻击 的 
机 器 群 ,一 般 属 于 僵尸 网 络 ; @ 被 攻击 目标 ( 即 受害 者 )。 

3) 低速 率 拒 绝 服务 (Low- rate DoS,LDoS) 攻 击 

传统 DoS 攻击 原理 的 共同 特点 是 攻击 者 采取 一 种 压力 (sledge- hammer) 方 式 向 被 攻击 
者 发 送 大 量 攻击 包 , 即 要 求 攻击 者 维持 一 个 高 频 、 高 速率 的 攻击 流 。 正 是 这 种 特征 ,各 种 传 
统 DoS 攻击 的 网 络 流量 与 正常 网 络 流量 相 比 都 具有 一 种 异常 统计 特性 ,使 得 对 其 进行 检测 
相对 简单 。 因 此 ,许多 DoS 检测 方法 都 把 这 种 异常 统计 特征 作为 识别 DoS 攻击 的 特征 ,一 
旦 检测 到 攻击 ,就 激活 包 过 滤 机 制 , 丢 弃 所 有 具有 攻击 特征 的 数据 流传 送 的 数据 包 , 或 者 采 
用 一 定 的 速率 限制 技术 来 降低 攻击 影响 。LDoS 攻击 只 是 在 特定 时 间 间 隔 内 发 送 数据 , 同 
一 周期 其 他 时 间 段 内 不 发 送 任何 数据 ,此 间 鞭 性 攻击 特点 ,使 得 攻击 流 的 平均 速率 比较 低 ， 
与 合法 用 户 的 数据 流 区 别 不 大 ,不 再 具有 传统 DoS 攻击 数据 的 异常 统计 特性 ,因此 很 难 用 
已 有 的 方法 对 其 进行 检测 和 防范 。LDoS 攻击 是 对 传统 DoS 攻击 的 改进 形式 , 它 与 传统 
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DoS 攻击 相 比 ,攻击 效率 有 了 大 幅度 的 提高 , 且 更 加 有 效 地 躲避 了 检测 和 防范 。LDoS 攻击 
比 传统 DoS 攻击 更 具 威 胁 性 。 

3. 截获 

截获 攻击 针对 的 是 信息 安全 中 的 秘密 性 。 攻 击 者 在 截取 了 通信 双方 的 正常 数据 包 后 ， 
通过 算 改 数据 包 的 字段 信息 (包括 收发 地 址 数据、 窗口 大 小 等 ) 伪 造 了 一 个 虚假 的 数据 包 ， 
从 而 实现 攻击 目的 。 在 无 线 通信 网 络 中 ,由 于 数据 包 易于 获取 ,所 以 截获 攻击 较 容易 实施 。 

4. 改变 

改变 攻击 是 攻击 行为 的 泛 指 ,在 具体 的 攻击 实施 过 程 中 凡是 破坏 或 扰乱 了 原 有 秩序 的 
行为 统称 为 改变 ,包括 地 址 改变 内 容 改变 .路 径 改变 .时 间 改 变 等 。 

5. 利用 

在 攻击 过 程 中 利用 一 般 借助 于 系统 存在 的 漏洞 来 实现 。 例 如 ,ARP 欺骗 攻击 借助 于 
ARP 协议 存在 的 安全 漏洞 来 实现 ,IP 源 地 址 伪造 攻击 借助 于 路 由 器 缺乏 对 源 IP 地 址 的 验 
证 机 制 这 一 规则 来 实现 ,还 有 大 量 利用 各 类 操作 系统 安全 漏洞 的 渗透 攻击 等 。 在 网 络 攻击 
中 ,利用 既是 一 个 动作 ,也 是 一 种 手段 和 方法 。 


1.4 主要 攻击 方法 


由 于 计算 机 网 络 体系 结构 的 复杂 性 及 应 用 的 开放 性 ,使 得 网 络 设备 及 数据 的 安全 成 为 
影响 网 络 正 常 运行 的 重要 问题 。 计 算 机 网 络 的 风险 主要 由 网 络 系统 存在 的 缺陷 或 漏洞 、 利 
用 漏洞 的 攻击 及 外 部 环境 对 网 络 的 威胁 等 因素 构成 。 广 义 的 攻击 是 指 任何 形式 的 非 授 权 行 
为 ,目前 的 网 络 攻击 主要 利用 网 络 通信 协议 本 身 存 在 的 设计 缺陷 或 因 安全 配置 不 当 而 产生 
的 安全 漏洞 而 实施 。 基 于 这 一 现实 ,本 节 重 点 介绍 以 下 的 攻击 方法 。 


1.4.1 端口 扫描 


网 络 扫 描 就 是 对 计算 机 系统 或 网 络 设备 进行 相关 的 安全 检测 ,以便 发 现 安全 隐患 和 可 
利用 的 漏洞 。 攻 击 者 利用 网 络 扫 描 技 术 来 寻找 对 系统 发 起 攻击 的 途径 。 计 算 机 网 络 通过 端 
口 对 外 提供 服务 ,一 个 端口 同时 也 是 一 个 潜在 的 通信 通道 或 人 侵 通 道 。 通 过 对 目标 主机 进 
行 端口 扫描 ,可 以 获得 很 多 有 用 信息 。 

端口 扫描 是 向 目标 主机 的 服务 端口 发 送 探测 数据 包 , 并 记录 目标 主机 的 响应 。 通 过 分 
析 响 应 的 数据 包 来 判断 服务 端口 是 否 处 于 打开 状态 ,从 而 得 知 端口 提供 的 服务 或 信息 。 端 
口 扫描 也 可 以 通过 捕获 本 地 主机 或 服务 器 的 流入 流出 数据 包 来 监视 本 地 IP 主机 的 运行 情 
况 , 它 能 对 接收 到 的 数据 进行 分 析 , 帮 助人 们 发 现 目标 主机 的 某 些 内 在 的 弱点 。 端 口 扫描 本 
身 不 会 提供 进入 一 个 系统 的 详细 方法 ,只 是 一 项 自动 探测 本 地 或 者 远程 系统 端口 开放 情况 
的 技术 。 用 户 通过 端口 扫描 可 以 了 解 本 系统 向 外 界 提 供 了 哪些 服务 ,或 者 探测 目标 主机 系 
统 端口 目前 正在 向 外 提供 哪 种 服务 。 

端口 扫描 一 般 通 过 TCP 连接 的 建立 机 制 而 实施 。 如 图 1-1 所 示 ,TCP 是 TCP/IP 体系 
结构 传输 层 提供 的 一 个 面向 连接 的 通信 协议 . 它 通 过 “三 次 握手 "过程 建立 可 靠 的 连接 。 在 
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网 络 攻击 中 ,端口 扫描 的 目的 不 是 建立 连接 ,而 是 利用 TCP 连接 的 建立 机 制 来 在 非 正常 状 
态 下 获得 目标 主机 的 相关 信息 。 在 端口 扫描 过 程 中 ,目标 主机 端口 可 能 出 现下 列 4 种 状态 ， 
每 一 种 状态 下 的 应 答 数据 包 情况 如 下 。 


连接 请 求 主机 有 


1 
SYN-SENT SYN= 1 


1 sq 一 ~ LISTEN 
| 
-一 一 SYN=1 , ACK=1, seq=y, i SYN-RCVD 
| 确认 ! 

1 
| | 


S -LISI 

ESTAB-LI "站 A ad 1 

eq=x+]1, ack=y+ 一 IESTAB-LISHED 
! 确认 ' I 


图 1-1 TCP 连接 建立 时 的 三 次 握手 


(1) CLOSED 状态 : 表示 目标 主机 的 端口 处 于 关闭 状态 。 这 时 ,如 果 目 标 主机 收 到 
RST( 复 位 ) 数 据 包 便 直接 丢弃 ; 如 果 收 到 其 他 类 型 的 数据 包 , 则 返回 一 个 RST 数据 包 。 

(2) LISTEN 状态 : 表示 目标 主机 的 端口 处 于 监听 状态 。 这 时 ,如 果 目 标 主机 收 到 一 
个 SYN( 同 步 ) 数 据 包 , 则 返回 一 个 SYN 或 ACK( 应 答 ) 数 据 包 ,并 进入 SYN-RCVD( 同 步 
收 到 ) 状 态 ; 如 果 收 到 一 个 ACK 数据 包 , 则 返回 一 个 RST 数据 包 ; 如 果 收 到 其 他 的 数据 
包 , 则 将 其 直接 丢弃 。 

(3) SYN-RCVD 状态 : 表示 目标 主机 的 端口 处 于 同步 收 到 状态 。 如 果 目 标 主机 接收 
一 个 RST 数据 包 , 则 返回 LISTEN 状态 ; 如 果 收 到 ACK 数据 包 , 则 进入 ESTAB-LISHED 
(连接 建立 ) 状 态 , 并 建立 TCP 连接 ; 如 果 收 到 其 他 类 型 的 数据 包 , 则 将 其 直接 丢弃 。 

(4) ESTAB-LISHED 状态 : 表示 目标 主机 的 端口 处 于 连接 已 建立 状态 , 即 TCP 连接 
已 经 建立 。 

TCP 连接 扫描 (TCP connect scan) 便 是 一 种 最 基本 的 端口 扫描 技术 。TCP 连接 扫描 
也 称 为 “TCP 全 连接 扫描 ”, 它 利用 TCP 协议 的 三 次 握手 过 程 ,直接 连接 到 目标 端口 并 完成 
一 个 完整 的 三 次 握手 过 程 (SYN、SYN/ACK 和 ACK)。 操 作 系 统 提供 的 connect() 函数 完 
成 系统 调用 ,用 来 与 目标 计算 机 的 端口 进行 连接 。 如 果 端 口 处 于 监听 状态 ,那么 connect() 
函数 就 能 成 功 完 成 连接 ; 否则 ,这 个 端口 是 不 能 用 的 , 即 没有 提供 服务 。TCP 连接 扫描 的 
优点 是 不 需要 任何 权限 ,系统 中 的 任何 用 户 都 有 权利 使 用 这 个 调用 ,而 且 扫描 速度 快 。TCP 
连接 扫描 的 缺点 是 容易 被 目标 系统 发 现 并 过 滤 。 在 目标 计算 机 的 日 志文 件 中 ,会 显示 一 连 
串 的 连接 和 连接 出 错 的 服务 消息 ,目标 计算 机 通过 对 本 地 系统 日 志 的 实时 分 析 很 容易 发 现 
这 种 扫描 行为 。 

1.4.2 口令 攻击 


口令 是 使 用 最 广泛 的 一 种 身份 认证 方式 。 目 前 ,虽然 基于 图 像 . 视 觉 和 指纹 等 的 认证 方 
法 已 经 开始 大 量 应 用 于 用 户 身份 认证 ,但 可 记忆 的 文本 口令 认证 方法 以 其 便捷 的 应 用 和 极 
低 的 成 本 仍 被 广泛 应 用 于 当前 的 各 类 系统 中 。 早 期 ,部 分 系统 采用 直接 存储 口令 本 身 来 进 
行 比 对 认证 ,攻击 者 很 容易 通过 攻击 服务 器 上 存储 的 口令 文件 来 直接 获取 口令 。2011 年 ， 
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CSDN 和 人 人 网 等 网 站 密码 大 量 泄露 的 原因 就 是 早期 使 用 这 种 方式 保存 口令 。 

现在 ,大 部 分 系统 通过 保存 口令 的 Hash 值 来 对 用 户 认 证 信息 进行 管理 。 当 用 户 登 录 
时 ,系统 通过 一 个 单 向 函数 来 对 输入 的 口令 进行 计算 ,将 得 到 的 Hash 值 与 存储 口令 的 
Hash 值 进行 比 对 ,如 果 一 致 则 通过 认证 ,否则 拒绝 访问 。 这 种 认证 方式 是 利用 了 单 向 函数 
的 单 向 性 (给 定 口 令 输入 ,计算 Hash 值 是 容易 的 ; 但 给 定 Hash 值 ,计算 出 口令 输入 值 是 困 
难 的 ) 保 证 口令 的 安全 。 这 样 即使 攻击 者 获取 到 存储 口令 Hash 值 的 文件 ,也 很 难得 到 口 
令 。 还 有 一 些 系 统 采用 加 权 方 法 来 进一步 保证 系统 的 安全 性 ,系统 以 口令 和 权 值 作为 输入 
参数 来 计算 Hash 值 ,这 里 的 权 值 通常 是 一 个 随机 值 。 

攻击 者 通过 猜测 口令 ,并 且 将 计算 出 的 Hash 值 进行 比 对 的 过 程 称 为 口令 攻击 。 因 此 ， 
口令 攻击 的 核心 是 猜测 出 可 能 的 候选 口令 。 在 互联 网 环境 中 ,一 般 可 以 通过 以 下 几 种 方式 
进行 口令 攻击 。 

1. 在 线 窃听 

在 线 窃听 是 指 攻 击 者 利用 一 些 网 络 协 议 传输 信息 时 未 进行 加 密 处 理 这 一 机 制 ,通过 在 
线 截获 数据 包 并 经 协议 分 析 便 可 获得 用 户 名 和 密码 等 账户 信息 。 目 前 ,互联 网 上 的 Telnet、 
FTP、HTTP、SMTP 等 协议 都 采用 明文 方式 来 传输 用 户 名 和 密码 等 账户 信息 ,通过 网 络 嗅 
探 器 (如 Sniffer) 在 不 影响 正常 通信 的 前 提 下 就 可 以 截获 数据 包 并 进行 协议 分 析 。 

2. 获取 口令 文件 

在 Linux 操作 系统 中 ,用 户 的 账号 (用 户 名 ) 信 息 存放 在 “cat/etc/passwd” 文 件 中 ,而 对 
应 的 口令 则 经 加 密 处 理 后 存放 在 “cat/etc/shadow” 文 件 中 ; 在 Windows 操作 系统 中 ,用 户 
名 和 密码 经 Hash 处 理 后 保存 在 “Winnt/System32/Config” 目 录 下 的 SAM (Security 
Account Manager, 安 全 账号 管理 ) 文 件 中 。 攻 击 者 在 窃取 了 这 些 文件 后 ,通过 破解 便 可 以 
获取 系统 的 账户 信息 。 例 如 ,Windows 中 的 SAM 文件 一 般 是 经 LM-Hash 或 NTLM-Hash 
加 密 处 理 后 的 文件 ,该 类 型 的 文件 很 容易 通过 专门 的 工具 进行 破译 。 

3. 字典 攻击 

拿 着 一 串 钥匙 鬼 鬼 崇 崇 地 逐个 试 着 去 打开 某 一 把 锁 属于 小 偷 行为 ,而 对 照 一 个 密码 本 
中 提供 的 密码 一 个 个 尝试 着 去 登录 某 一 系统 则 属于 字典 攻击 。 任 何 一 个 资源 受 限 系统 都 需 
要 对 用 户 身份 的 合法 性 进行 验证 。 当 攻击 者 试图 入侵 一 个 受 保护 的 目标 系统 时 , 像 正 常 的 
用 户 登 录 一 样 ,需要 输入 正确 的 用 户 名 和 和 密码。 此 时 ,攻击 者 会 使 用 事先 生成 的 口令 字典 
库 , 依 次 向 目标 系统 发 起 身份 认证 请 求 , 直 到 某 一 个 口令 满足 条 件 ( 攻 击 成 功 ) 或 所 有 口令 饥 
历 后 仍然 无 效 (攻击 失败 ) 为 止 。 一 个 字典 攻击 过 程 必须 具备 的 两 个 条 件 如 下 。 

(1) 攻击 者 必须 事先 掌握 目标 系统 的 身份 认证 方式 。 就 像 小 偷 开锁 之 前 需要 知道 锁 的 
类 型 ,然后 才能 准备 钥匙 一 样 ,攻击 者 在 和 人 侵 目 标 系统 之 前 ,也 必须 事先 掌握 该 系统 的 身份 
认证 方式 (如 虹膜 认证 .指纹 认证 ` 口 令 认 证 等 ) 后 ,才能 确定 其 认证 协议 .目标 地 址 及 端口 等 
信息 。 

(2) 字典 库 的 准备 。 对 于 攻击 者 来 说 ,字典 库 越 大 ,成 功 人 侵 的 可 能 性 也 就 越 大 ,但 攻 
击 过 程 的 耗 时 也 越 长 ,攻击 行为 被 检测 和 阻止 的 可 能 性 也 越 大 。 攻 击 者 在 对 一 个 目标 系统 
实施 攻击 之 前 ,一 般 会 对 其 口令 的 可 能 组 成 进行 一 个 评估 (如 系统 的 重要 性 .系统 的 注册 用 
户 数 量 .系统 曾经 是 否 出 现 过 用 户 信息 的 泄露 等 ) ,再 根据 评估 结果 生成 相应 的 字典 库 。 目 
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前 ,针对 不 同系 统 的 不 同 认 证 方式 ,存在 专门 的 字典 库 生成 工具 。 
1.4.3 彩虹 表 


彩虹 表 (Rainbow Table) 是 一 种 破解 Hash 函数 的 技术 。 例 如 ,对 于 Windows 操作 系 
统 中 经 过 LM-Hash 或 NTLM-Hash 加 密 处 理 后 的 SAM 文件 ,即使 是 系统 管理 员 
(Administrator) 也 无 法 读 取 ,但 是 通过 相应 的 彩虹 表 工 具 都 可 以 进行 破解 。 彩 虹 表 技术 可 
以 针对 不 同 的 Hash 函数 ,利用 其 漏洞 进行 暴力 破解 。 

1.Hash 函数 

Hash 函数 (Hash function, 杂 竣 函 数 ) 是 将 任意 长 的 数字 串 M 映射 成 一 个 较 短 的 定 长 
输出 数字 串 日 的 函数 。 一 般 以 h 表示 ,h(MD) 易 于 计算 , 称 昌 =h(M) 为 M 的 杂凑 值 , 杂 凑 
值 也 称 为 Hash 值 ,H 也 称 为 M 的 数字 指纹 (digital finger print)。 

在 Hash 函数 中 ,h 是 多 对 一 的 映射 , 即 任意 一 个 M 经 h(M) 计 算得 到 的 互 是 唯一 的 ， 
而 一 个 五 可 能 对 应 多 个 不 同 的 M。 因 此 ,不 能 从 日 计算 得 出 原来 的 M ,但 可 以 验证 任意 一 
个 给 定 的 序列 M' 是 否 与 M 有 相同 的 杂凑 值 。Hash 函数 具有 以 下 性 质 。 

(1) 混合 变换 (mixing transformation)。 对 于 任意 的 输入 z, 输 出 的 杂凑 值 h(z) 应 当 与 
区 间 [0,2%] 中 均匀 的 二 进 制 串 在 计算 上 是 不 可 区 分 的 。 

(2) 抗 碰撞 攻击 (collision resistance)。 存 在 两 个 输入 zx 和 yy, 且 x 关 y, 使 得 h(x) 王 
hh(y) ,这 在 计算 上 应 当 是 不 可 行 的 。 为 了 使 这 个 假设 成 立 , 要 求 h 的 输出 空间 应 当 足 够 大 。 
|| 最 小 为 128, 典 型 的 值 为 160。 

(3) 抗原 象 攻击 (pre image resistance)。 已 知 一 个 杂 竣 值 h, 找 一 个 输入 串 zx, 使 得 = 
h(x), 这 在 计算 上 是 不 可 行 的 。 这 个 假设 同样 也 要 求 h 的 输出 空间 足够 大 。 

(4) 实用 有 效 性 (practical efficiency)。 给 定 一 个 输入 串 xz.h(zx) 的 计算 可 以 在 关于 x 
的 长 度 规模 的 低 阶 多 项 式 ( 理 想 情 况 是 线性 的 ) 时 间 内 完成 。 

需要 说 明 的 是 ,由 于 Hash 函数 输出 值 是 固定 长 度 的 ,这 必然 会 存在 多 个 不 同 输入 产生 
相同 输出 的 情况 。 如 果 两 个 输入 串 的 Hash 函数 的 值 一 样 , 则 称 这 两 个 串 是 一 个 碰撞 
(CCollision) 。 在 理论 范围 内 ,存在 一 个 输出 串 (Hash 函数 值 ) 对 应 无 穷 多 个 输入 串 , 所 以 碰 
撞 具 有 其 必然 性 。 如 果 找 到 碰撞 ,就 意味 着 破坏 了 信息 的 一 致 性 ,搜寻 指定 输入 的 Hash 碰 
撞 值 的 过 程 被 称 为 “Hash 破解 ”。 按 照 Hash 函数 性 质 的 约定 ,Hash 函数 必须 是 不 可 逆 的 ， 
所 以 不 存在 从 杂凑 值 到 原始 输入 串 的 破解 。 但 是 ,如 果 使 用 彩虹 表 这 种 暴力 破解 方式 ,可 以 
打破 Hash 函数 的 性 质 约定 ,不 过 仍然 无 法 保证 破解 到 的 数据 是 原始 数据 。 

2. 彩虹 表 的 工作 原理 

由 于 Hash 函数 具有 的 特殊 性 质 , 目 前 Hash 函数 多 用 于 密码 的 保存 .用 于 防止 明文 密 
码 的 泄露 ,同时 又 可 以 验证 输入 的 密码 的 正确 性 。 常 用 的 Hash 算法 有 MD5、SHA-1、 
SHA-2 等 。 

(1) 彩虹 表 的 建立 。 彩 虹 表 技术 的 设计 目的 是 对 Hash 函数 进行 暴力 破解 。 在 Hash 
函数 中 存在 某 个 较 大 集合 Mmo ,za ,ms ，… ,ms,) 和 一 个 较 小 集合 Q(gi ,qz ,q;，… ,qs) ,其 中 
用 于 两 个 集合 映射 的 Hash 函数 为 互 , 即 Q 二 HC(M)。 对 于 M 中 的 任何 一 个 值 mx; (i 二 0,1， 
2,…,n) 都 有 了 唯一 确定 的 g;(j 二 1,2,3,…,p) 与 之 对 应 ,但 是 一 个 g; 可 以 对 应 多 个 m;。 
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对 于 Hash 函数 的 破解 ,是 给 定 一 个 具体 的 杂凑 值 9, 求 得 其 输入 值 m 的 过 程 。 具 体 有 
两 种 方法 : 一 种 是 暴力 破解 ,把 M 中 的 每 个 m; 都 计算 一 次 也 (mi) ,直到 结果 等 于 g; 另 一 
种 是 查 表 法 ,预先 设计 一 个 给 定 结构 的 数据 库 ,把 每 个 mw; 和 对 应 的 g; 都 记录 在 数据 库 中 ， 
只 要 在 该 数据 库 依次 查询 g, 直 到 找到 对 应 的 m 为 止 。 这 两 种 方法 虽然 在 理论 上 具有 可 行 
性 ,但 在 实际 应 用 中 却 是 不 可 取 的 ,因为 前 一 种 所 需要 的 时 间 是 不 能 接受 的 [例如 ,一 个 由 
14 位 的 大 小 写 英文 字母 加 数字 组 成 的 密码 集合 大 小 为 (26X2 十 10)1 一 1.24X105], 而 后 
一 种 产生 的 存储 空间 是 海量 的 (如 果 杂 凑 值 采用 为 128 位 ,那么 仅 存储 杂凑 值 就 需要 102 
PB, 还 没有 考虑 保存 明文 M 所 需要 的 存储 空间 ) 。 彩 虹 表 是 对 以 上 两 种 做 法 的 合理 组 合 ， 
既 结合 了 暴力 破解 和 查 表 法 的 特点 ,又 使 处 理 时 间 和 存储 空间 都 能 够 在 人 们 的 可 接受 范 
围 内 。 

彩虹 表 的 具体 做 法 是 ,对 于 Q== 昌 (MD) ,建立 另 一 个 可 以 将 Hash 值 映 射 回 明文 密码 m; 
的 换算 函数 RR, 使 得 M=R(CQ) ,然后 对 于 一 个 给 定 的 m, 进 行 如 下 计算 。 


H ,RR 六 ， _H ,RR / 
7 一 > 9 一 一 > 71 一 一 92 一 一 > 7712 一 一 > 93 一 一 71203901 一 一 7 一 一 > 9 一 一 > 772 


以 上 算法 的 基本 思想 是 ,把 m 用 态 和 R 依次 迭代 运算 ,最 后 得 到 m 。 最 后 ,将 m 和 
m 保存 下 来 ,其 他 的 中 间 结 果 全 部 丢弃 。 从 w 到 mm 之 间 的 运算 称 为 哈 希 链 , 其 中 xx 和 wm 分 
别 为 该 链 中 的 起 始点 和 终结 点 。 为 了 能 够 生成 查询 表 , 从 M 中 随机 选择 一 组 mw; 分 别 作为 
起 始 值 ,对 每 个 起 始点 值 采 用 相同 的 喻 希 链 生成 算法 计算 终结 点 值 ,将 起 始点 值 和 终结 点 值 
保存 下 来 ( 即 zz 一 zi 对 ) ,中 间 过 程 产生 的 值 全 部 丢弃 。 通 过 以 上 运算 ,一 个 仅 保存 起 始点 
值 和 终结 点 值 的 数据 库 便 形成 ,该 数据 库 即 生成 的 彩虹 表 。 

(2) 利用 彩虹 表 破 解 Hash 函数 值 。 彩 虹 表 的 作用 便 是 破解 Hash 函数 值 , 即 通过 杂凑 
值 找到 明文 输入 数字 串 。 下 面具 体 介绍 给 定 一 个 杂凑 值 g, 求 其 输入 值 m 的 过 程 。 具 体 方 
法 是 , 先 把 g 进行 一 次 R 运算 ,得 到 一 个 值 c ,然后 把 c: 与 彩虹 表 中 每 一 条 记录 (mm 对 ) 
中 的 mi 进行 比 对 ,如 果 有 一 条 对 应 的 记录 , 则 该 记录 的 (m1,，… ,m4-1) 可 能 存在 要 找 的 m。 
此 时 ,为 了 验证 Gm4 ，… ,m4-1) 存 在 mm, 将 该 记录 再 进行 一 次 从 m 到 m' 的 链 式 运算 ,看 运算 


结果 中 的 g; 是 否 与 g 相同 ,如 果 相 同 说 明 my/_, 就 是 六 ,因为 my -一 -0 。 如 果 不 是 ,继续 查 
询 下 一 条 记录 ,直至 遍历 整个 彩虹 表 中 的 mm 对 为 止 。 


如 果 通过 ci 没有 得 到 对 应 的 mm ,再 进行 4-2-c， -二 of- 人-c, 运算 ,并 把 c 与 彩虹 表 
中 每 一 条 记录 中 的 m 进行 比 对 ,如 果 成 功 , 根 据 其 对 应 的 起 始点 重新 进行 链 式 运算 , 若 运 算 
过 程 中 存在 g 与 9 相同 , 则 m1 即 为 要 找 的 m; 否则 ,再 运算 得 到 cs .cl ,直到 cx_1。 

通过 以 上 分 析 可 知 ,如 果 给 定 一 个 杂凑 值 g, 需 要 找到 相对 应 的 输入 明文 密码 ,就 可 以 通 
过 换算 函数 R 和 Hash 函数 采 运 算 哈 希 链 , 当 其 中 任何 一 点 与 彩虹 表 中 的 终结 点 相同 时 ,就 能 
通过 相应 的 起 始点 重建 此 哈 希 链 。 通 过 重建 的 完整 哈 希 链 , 就 有 机 会 找到 相应 的 密码 值 m。 

3. 彩虹 表 应 用 举例 

图 1-2 是 由 3 条 完整 哈 希 链 组 成 的 表 , 表 中 的 每 一 条 记录 ( 哈 希 链 ) 都 经 过 了 3 次 换算 ， 
3 次 换算 的 换算 函数 分 别 为 Ri .R: 和 R; 。 其 中 ,密码 全 部 用 6 位 小 写字 母 表示 , Hash 值 为 
32 位 。 

以 图 1-2 中 的 哈 希 链表 构成 如 图 1-3 所 示 的 彩虹 表 。 利 用 该 彩虹 表 来 破解 Hash 函数 
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值 为 “00BB33DF”, 破 解 的 主要 运算 过 程 如 下 。 
R 已 R 

aaaaaa | ET12233FEO— | bacbac | ECD33344FF Ow| abedef EmCG34455FF S| master |R 
R 尼 R 

bbbbbb | Em CITIFF33 7 一 -| abcbad | Hm CS3FF4499 | debacd | HCAAFFOO8S Oe | memory | 及 


RI 本 R: 
Cccccc | GIDD66AN 二 | summer [也 -CO08B53DP | opqrst 也- <3534455FF > 一 | farmer Rs 






















































































表示 明文 密码 CC ”> 表示 Hash 函 数值 为 Hash 函 数 。”R 为 换算 函数 
图 1-2 经 3 次 换算 的 简单 哈 希 链表 





起 始点 


有 及 
aaaaaa 无 hummer > CO00BB33DF 
Rs H PR 
bbbbbb memory farmer | 天 334455FF 7 一 一 | opqrst [= 00BB33DF D> 



































cccccc farmer 






































RI 
彩虹 表 cccccc HCI3DD66AA summer 总 00BB33DF > 停止 


图 1-3 对 Hash 值 *00BB33DF” 的 破解 过 程 


(1) 对 Hash 函数 值 *00BB33DF” 通 过 换算 函数 R; 得 到 一 个 终结 点 的 明文 密码 
“hammer”, 在 彩虹 表 的 终结 点 一 列 中 未 找到 对 应 内 容 , 转 到 (2) 。 

(2) 通过 换算 函数 R,、Hash 函数 瑟 、 换 算 函 数 R, 得 到 终结 点 的 明文 密码 “farmer”。 

(3) 在 彩虹 表 中 找到 相对 应 的 终结 点 明文 密码 “farmer”。 

(4) 利用 对 应 的 起 始点 “ccccce” 重 新 构建 喻 希 链 , 直 至 运算 得 到 Hash 值 *00BB33DF”。 
这 时 ,就 获得 了 Hash 值 “00BB33DF” 相 对 应 的 明文 密码 “summer”, 破 解 成 功 。 

对 于 Windows 操作 系统 来 说 ,只 要 得 到 SAM 文件 ,就 可 以 轻松 地 获取 所 有 用 户 的 明 
文 密码 。Windows 操作 系统 的 早期 版 本 使 用 LM-Hash 加 密 保存 SAM 文件 ,从 Windows 
Vista 开始 系统 默认 禁用 了 LM-Hash( 如 图 1-4 所 示 为 Windows 8 操作 系统 中 系统 默认 的 
设置 ) ,而 改 用 安全 性 高 的 NTLM-Hash。 然 而 ,对 于 采用 LM-Hash 和 NTLM-Hash 加 密 
处 理 的 SAM 文件 ,使 用 彩虹 表 都 可 以 轻易 破解 。 


1.4.4 漏洞 攻击 


互联 网 技术 的 飞速 发 展 ,其 原始 驱动 是 各 类 应 用 的 不 断 丰富 和 完善 。 在 这 一 过 程 中 , 软 
件 是 核心 。 然 而 ,任何 一 款 软 件 都 不 同 程度 地 存在 着 漏洞 ,漏洞 一 旦 被 利用 就 会 产生 攻击 。 
不 断 发 生 的 重大 网 络 安全 事件 ,多 是 由 黑客 利用 漏洞 进行 攻击 所 导致 的 。 

1. 漏洞 的 概念 

在 计算 机 安全 领域 中 ,漏洞 被 认为 是 存在 于 一 个 系统 内 的 弱点 或 缺陷 ,系统 对 一 个 特定 
的 威胁 攻击 或 危险 事件 的 敏感 性 ,或 者 进行 攻击 的 威胁 作用 的 可 能 性 。 漏 洞 通常 是 由 软件 
错误 (如 未 经 检查 的 缓冲 区 或 者 竞争 条 件 ) 引 起 的 。 在 网 络 安全 中 ,计算 机 系统 是 由 若干 描 
述 实体 配置 的 当前 状态 组 成 的 ,这 些 状态 可 分 为 授权 状态 、 非 授权 状态 、 易 受 攻击 状态 和 不 易 
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好 本 地 安全 策略 ss 
文件 四” 氢 作 (A 下 看 帮助 
和 中 | 直 国 | 光 目 如 | 日 加 
局 去 全 8 重 第 安全 设置 a 
> 局 由 户 第 咯 罗网 治安 全 ; 限制 NTUM: 此 域 中 的 NTLM 身份 验 汪 没有 定义 
” 和 加 网络 安全 : 耻 制 NTUM: 3 本 最 务 基 的 传 出 NTLM 流量 没有 定义 
》 吃 市 ER 加 网络 安全 ; 限制 NTLM: 审核 传 入 NTLM 流量 没有 定义 
"Bn 区 网 洛 雪 全 : 限制 NTLM: 市 核 此 域 中 的 NTLM 身份 验证 没有 定义 
可 人 六 网络 安 全 : 限制 NTLM: 添加 此 城中 的 服务 器 例外 没有 定义 
te 届 网 络 安 全 : 限制 NTLM: 为 NTLM 身份 验证 汉 加 远程 服 务 器 例外 没有 定义 
Ms 玖 网 安全 允许 Localsystem NULL 会 四 退 没有 定义 
2 同 网 络 安全 : 爷 许 本 地 系 近 村 计算 轴 FR 用 于 NTLM BR 
>、 国 应 用 本 下 0 加 网络 安全 : 允许 对 此 计算 机 的 PKU2U 身份 恰 证 请 求 使 用 联机 标 jR，。。 没有 定义 
》 昌 |p 安全 策略 , 在 本 地 计算 机 册 二 SE 二 时 区 J 指 
v 




















图 1-4 Windows 8 操作 系统 默认 禁用 LM-Hash 


受 攻击 状态 。 易 受 攻击 状态 是 指 通过 授权 的 状态 转变 成 从 非 授权 状态 可 以 到 达 的 授权 状态 。 

受 损 状态 是 指 已 完成 这 种 转变 的 状态 ,攻击 是 非 受 损 状态 到 受 损 状态 的 状态 转变 过 程 。 
漏洞 就 是 指 区 别 于 所 有 非 受 损 状 态 的 容易 受 攻击 的 状态 特征 。 漏 洞 具有 以 下 特点 。 

(1) 软件 编写 过 程 中 出 现 的 逻辑 错误 , 除 专门 设置 的 “后 门 ” 外 ,这 些 错误 绝 大 多 数 都 是 
由 于 疏忽 造成 的 。 

(2) 漏洞 和 具体 的 系统 环境 密切 相关 。 在 不 同 种 类 的 软 、 硬 件 设 备 中 , 同 种 设备 的 不 同 
版 本 之 间 、 由 不 同 设备 构成 的 不 同系 统 之 间 , 以 及 同 种 系统 在 不 同 的 设置 条 件 下 ,都 会 存在 
各 自 不 同 的 安全 漏洞 问题 。 

(3) 漏洞 问题 与 时 间 紧 密 相关 。 随 着 时 间 的 推移 , 旧 的 漏洞 会 不 断 得 到 修补 或 纠正 ,新 
的 漏洞 会 不 断 出 现 , 因 而 漏洞 问题 会 长 期 存在 。 

漏洞 的 上 述 特点 决定 了 在 对 漏洞 进行 研究 时 ,除了 需要 掌握 漏洞 本 身 的 特征 属性 ,还 要 
了 解 与 漏洞 密切 相关 的 其 他 对 象 的 特点 。 漏 洞 的 基本 属性 有 漏洞 类 型 .造成 后 果 、 严 重 程 
度 、 利 用 需求 .环境 特征 等 。 与 漏洞 相关 的 对 象 包括 存在 漏洞 的 软 ( 硬 ) 件 ,操作 系统 、 相 应 的 
补丁 程序 和 修补 漏洞 的 方法 等 。 图 1-5 是 一 个 典型 的 漏洞 库 所 包含 的 漏洞 信息 。 





















































厂商 (应 的 汕 洞 描述 
版 本 操作 系统 
补丁 程序 编号 
公共 漏洞 列 科 之 乔 作 系统 | 
(CVE) 编 号 存在 漏洞 
的 
沁 洒 软件 人 人 《版 ) 






分 析 、 描述 (漏洞 关 型 ) (严重 程度 ) (利用 需求 ) 











1-5 漏洞 的 组 成 及 描述 
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安全 漏洞 是 信息 技术 、 信 息 产品 和 信息 系统 在 需求 .设计 实现、 配置 .运行 等 过 程 中 ,有 
意 或 无 意 产 生 的 脆弱 性 ,这 些 脆弱 性 以 不 同形 式 存 在 于 信息 系统 各 个 层次 和 环节 之 中 ,能 够 
被 恶意 主体 所 利用 ,从 而 影响 信息 系统 及 其 服务 的 正常 运行 。 近 几 年 来 ,由 漏洞 导致 的 网 络 
安全 事件 层出不穷 ,典型 案例 包括 : 2010 年 6 月 发 现 的 “ 震 网 ”CStuxnet) 蠕 虫 ,同时 利用 了 7 
个 最 新 漏洞 进行 攻击 ,导致 伊朗 布 舍 尔 核电 站 推迟 发 电 ; 2011 年 7 月 发 生 的 韩国 门户 网 站 
Nate 和 社交 网 站 Cyworld 被 黑 事件 ,成 为 至 今 发 生 的 规模 最 大 的 网 民 信息 被 盗 案 件 , 约 
3500 万 用 户 的 名 字 电话 号 码 、 地 址 .身份 证 号 码 等 信息 被 公布 ; 2011 年 12 月 ,黑客 通过 漏 
洞 攻击 导致 CSDN 等 站 点 数 亿 账 户 信息 被 泄露 ,严重 扰乱 了 互联 网 正常 秩序 。 安 全 漏洞 的 
大 量 出 现 和 加 速 增长 是 目前 网 络 安全 问题 趋 于 严峻 的 重要 原因 之 一 。 

0day 漏洞 是 一 种 特殊 的 安全 漏洞 。0day 通常 是 指 还 没有 公开 过 的 尚未 有 补丁 的 漏洞 ， 
也 称 为 “未 公开 漏洞 ”。 而 0day 攻击 则 是 指 利用 这 种 漏洞 进行 的 攻击 , 即 在 安全 补丁 发 布 之 
前 攻击 者 已 经 掌握 了 漏洞 的 存在 ,并 对 存在 该 漏洞 的 系统 进行 攻击 。 在 安全 补丁 发 布 之 前 ， 
所 有 的 漏洞 都 可 以 称 为 0day 漏洞 。 而 从 实际 情况 来 看 ,漏洞 的 存在 是 普遍 的 ,只 是 有 些 漏 
洞 尚未 发 现 或 发 现 后 没有 公开 而 已 。 为 此 ,利用 0day 漏洞 的 网 络 攻击 ,在 互联 网 环境 中 产 
生 的 危害 是 崩塌 式 的 。 

2. 漏洞 的 分 类 

根据 产生 原因 ,可 以 将 漏洞 分 为 以 下 几 类 。 

(1) 设计 方面 的 原因 。 主 要 是 在 系统 设计 时 受 某 种 先决 条 件 的 限制 ,或 者 考虑 不 够 全 
面 ,从 而 导致 设计 上 存在 缺陷 。 一 般 来 说 ,这 类 漏洞 很 难 进行 修补 ,特别 是 对 于 广泛 应 用 的 
系统 来 说 更 是 如 此 。 例 如 ,在 最 初 TCP/IP 协议 的 设计 时 , 因 当 时 只 在 小 范围 内 使 用 ,对 于 
身份 的 确认 、 交 互信 息 的 确认 都 没有 进行 专门 的 考虑 ,从 而 导致 假冒 IP 地 址 、 利 用 TCP 通 
信 中 三 次 握手 等 攻击 行为 很 难 防范 。 

(2) 实现 方面 的 原因 。 一 般 来 说 ,主要 体现 在 编码 阶段 ,如 忽略 或 缺乏 编码 安全 方面 的 
考虑 、 编 程 习惯 不 良 及 测试 工作 的 不 充分 等 ,导致 在 一 些 特 殊 的 条 件 下 ,程序 无 法 按照 预定 
的 步骤 执行 ,从 而 给 攻击 者 以 可 乘 之 机 。 目 前 很 多 攻击 都 是 针对 编码 漏洞 来 发 起 的 ,最 为 典 
型 的 就 是 缓冲 区 溢出 攻击 ,如 CodeRed、SQL Slammer、 冲 击 波 蠕虫 .震荡 波 蠕虫 等 都 是 利用 
了 缓冲 区 溢出 的 漏洞 。 一 般 来 说 ,这 种 攻击 通常 会 使 攻击 者 的 权限 得 到 非法 提升 ,对 系统 的 
安全 性 威胁 很 大 。 

(3) 配置 方面 的 原因 。 很 多 系统 在 正常 工作 前 都 需要 进行 一 些 配置 , 越 是 复杂 的 系统 ， 
其 配置 就 越 复杂 。 由 于 管理 者 缺乏 相应 的 安全 知识 、 对 所 使 用 的 系统 不 了 解 .配置 方法 不 专 
业 等 原因 ,经 常 为 系统 留 下 严重 的 安全 隐患 。 例 如 ,采用 系统 的 默认 配置 ,导致 系统 运行 了 
本 来 不 需要 的 服务 ,由 此 埋 下 了 安全 隐患 。 这 个 问题 在 操作 系统 服务 的 配置 、 应 用 服务 的 权 
限 配置 ,口令 配置 等 方面 表现 得 更 为 突出 。 

3. 针对 网 络 协议 漏洞 的 攻击 

网 络 漏洞 是 指 存在 于 计算 机 网 络 系统 中 的 ,可 能 对 系统 中 的 组 成 和 数据 造成 损害 的 一 
切 因素 。 网 络 漏洞 是 在 硬件 、 软 件 、 协 议 的 具体 实现 或 系统 安全 策略 上 存在 的 缺陷 ,从 而 可 
以 使 攻击 者 能 够 在 未 授权 的 情况 下 访问 或 破坏 系统 。 由 于 网 络 漏洞 涉及 的 内 容 较 广 ,下 面 
主要 介绍 网 络 协议 漏洞 。 
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TCP/IP 协议 是 Internet 中 使 用 的 一 组 通信 协议 的 总 称 , 最 初 由 美国 国防 部 高 级 研究 
计划 署 (DARPA) 资 助 开 发 ,于 1983 年 在 ARPANET( 阿 帕 网 ) 上 使 用 。 以 TCP/IP 协议 为 
基础 的 Internet 设计 的 初衷 主要 是 考虑 军事 应 用 及 提高 抗 干扰 能 力 ,这 是 以 牺牲 网 络 带宽 
为 代价 的 ,其 网 络 结构 及 协议 也 存在 一 系列 问题 ,提供 的 是 一 种 面向 非 连 接 的 尽力 而 为 的 不 
可 靠 服务 ,根本 没有 考虑 到 类 似 于 今天 移动 互联 网 等 新 应 用 的 需要 。TCP/IP 协议 设计 之 
前 是 由 具有 相同 爱好 的 一 些 工 程 技术 人 员 和 研究 者 设计 开发 的 ,他 们 彼此 信任 ,协同 工作 ， 
网 络 中 源 、 目 的 地 址 彼此 信任 ,网 络 中 传输 的 内 容 未 考虑 保密 性 ,整个 体系 结构 是 一 种 开放 、 
松散 的 架构 。 然 而 , 当 Internet 进入 大 规模 商用 后 ,协议 设计 之 初 存在 的 局 限 性 很 快 暴露 出 
来 ,尤其 是 安全 问题 引起 普遍 关注 ,但 一 时 又 无 法 找到 一 种 更 好 的 可 进行 大 规模 改进 的 方 
案 。 因 此 ,现实 的 做 法 则 是 集思广益 ,吸收 各 种 新 概念 、 新 思路 及 新 技术 来 对 已 有 协议 渐进 
性 地 进行 完善 ,使 之 尽 可 能 满足 人 们 的 应 用 要 求 。 严 格 地 讲 , 在 目前 的 Internet 应 用 环境 
中 ,TCP/IP 中 的 主流 协议 (如 TCP、UDP、ARP/RARP、SMTP、DNS 等 ) 都 不 同 程度 地 存在 
着 安全 漏洞 ,这 些 安 全 漏洞 都 可 能 会 被 攻击 者 利用 ,作为 入 侵 的 窗口 或 跳板 。 


1.4.5 缓冲 区 溢出 


缓冲 区 是 指 计算 机 中 连续 的 一 段 存 储 空间 。 攻 击 者 针对 缓冲 区 工作 过 程 中 存在 的 漏 
洞 ,通过 编写 攻击 程序 ,导致 缓冲 区 出 现 溢 出 ,进而 实现 对 目标 的 攻击 。 

1. 缓冲 区 溢出 的 概念 

缓冲 区 溢出 是 一 种 系统 攻击 手段 , 它 通 过 向 程序 的 缓冲 区 写 人 超出 其 长 度 要 求 的 内 容 ， 
造成 缓冲 区 空间 的 溢出 ,溢出 的 数据 将 改写 相 邻 存储 单元 上 的 数据 ,从 而 破坏 程序 的 堆栈 ， 
使 程序 转 去 执行 其 他 指令 。 如 果 这 些 指令 是 放 在 有 系统 管理 员 权 限 ( 如 UNIX/Linux 的 
Root、Windows NT 的 Administrator 等 ) 的 内 存 里 ,那么 一 旦 这 些 指 令 得 到 了 运行 ,入 侵 者 
就 以 管理 员 权 限 实现 了 对 系统 的 控制 。 

缓冲 区 溢出 是 一 种 典型 的 U2R(User to Root) 攻 击 方式 。 造 成 缓冲 区 溢出 攻击 的 主要 
原因 是 代码 在 操作 缓冲 区 时 ,没有 有 效 地 对 缓冲 区 边界 进行 检查 。 缓 冲 区 溢出 可 以 成 为 攻 
击 者 实现 攻击 目的 的 手段 ,但 是 单纯 的 缓冲 区 溢出 并 不 能 达到 攻击 的 目的 。 在 绝 大 多 数 情 
况 下 ,一 旦 程序 中 发 生 缓冲 区 溢出 ,系统 会 立即 中 止 程序 运行 ,并 报告 “ 段 错误 ”。 只 有 对 缓 
冲 区 溢出 进行 适当 利用 ,攻击 者 才能 实现 攻击 目的 。 

利用 缓冲 区 溢出 这 一 漏洞 ,攻击 者 可 以 使 程序 运行 失败 、 系 统 崩 溃 或 重新 启动 。 更 为 严 
重 的 是 ,可 以 利用 缓冲 区 溢出 执行 非 授 权 指令 ,甚至 取得 系统 特权 ,进而 进行 各 种 非法 操作 。 
如 何 防 止 和 检测 出 利用 缓冲 区 溢出 漏洞 进行 的 攻击 ,就 成 为 网 络 人 侵 防 御 及 入侵 检测 的 重 
点 之 一 。 
两 训 信 2. 缓冲 区 溢出 的 原理 
程序 段 ”上 一 一 存放 程序 机 器 码 和 只 读数 据 简单 地 讲 ,缓冲 区 溢出 的 原因 是 由 于 字符 
数据 段 ”上 一 一 存放 程序 中 的 静态 数据 串 在 处 理 函 数 (Cgets strcpy 等 ) 时 没有 对 数组 
堆栈 | ”存放 程序 中 的 动态 数据 的 越界 操作 加 以 检测 和 有 效 限 制 ,结果 覆盖 了 
内 存 高 并 原 有 的 堆栈 数据 。 图 1-6 所 示 为 程序 在 内 存 
图 1-6 程序 在 内 存 中 的 存储 方式 中 的 存储 方式 。 从 图 中 可 以 看 出 ,输入 的 形 参 
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等 数据 存放 在 堆栈 中 ,程序 是 从 内 存 低 端 向 内 存 高 端 按 顺序 执行 的 ,由 于 堆栈 的 生长 方向 与 
内 存 的 生长 方向 相反 ,所 以 在 堆栈 中 压 和 的 数据 超过 预先 分 配给 堆栈 的 容量 时 ,就 会 出 现 堆 
栈 溢出 ,从 而 使 得 程序 运行 失败 。 

下 面 是 一 段 用 C 语言 编写 的 对 缓存 区 进行 操作 的 简单 程序 : 


#include< stdio.h> 

int main() 

char name[16]; 

gets(name); 

for(int i=0;i<16&&name[i];i++) 
print(, nane[ 1]);} 


编译 上 述 代码 , 当 输入 “network attack” 时 ,输出 也 为 “network attack”。 在 此 操作 过 程 
中 ,对 堆栈 的 操作 是 先 在 栈 底 压 人 程序 返回 地 址 ,接着 将 栈 指针 EBP 入 栈 , 此 时 EBP 等 于 
现在 的 ESP。 然 后 ,ESP 减 16, 即 向 上 增长 16 字 节 ,用 来 存放 name[ ] 数 组 ,此 时 堆栈 的 结 
构 如 图 1-7(a) 所 示 。 在 执行 完 gets(name) 命 令 后 ,堆栈 中 的 内 容 如 图 1-7(b) 所 示 。 最 后 ， 
从 main 返回 ,弹出 ret 里 的 返回 地 址 并 赋值 组 EIP,CPU 继续 执行 EIP 所 指向 的 命令 。 如 果 此 
时 的 输入 字符 串 长 度 超过 16 字 节 , 则 当 执 行 完 gets(name) 命 令 后 ,堆栈 的 效果 如 图 1-7(c) 
所 示 。 此 时 ,由 于 输入 的 字符 串 长 度 超过 了 16 字 节 ,在 name 数组 中 无 法 容纳 ,只 好 向 堆栈 
的 底部 方向 继续 写 和 人 ,覆盖 了 堆栈 中 原 有 的 内 容 。 由 图 1-7(c) 可 以 看 出 ,EBP 和 ret 已 经 被 
输入 的 字符 “D” 有 覆盖。 这 时 ,从 main 返回 时 ,就 必然 会 把 “DDDD” 的 ASCII 码 看 作 是 返回 
地 址 ,CPU 会 试图 执行 该 地 址 处 的 指令 ,结果 出 现 难以 预料 的 结果 , 便 产 生 了 一 次 堆栈 




















内 存 低 端 内 存 高 端 
堆栈 顶部 堆栈 底部 
| name EBP ret 
&name 
(a) 程序 开始 运行 时 堆栈 的 状态 
内 存 低 端 内 存 高 端 
堆栈 顶部 堆栈 底部 
network attack\0 | | | 
1 name EBP ret 
&name 
(b) 运行 gets(name) 后 堆栈 的 状态 
内 存 低 内 存 高 端 
堆栈 顶部 堆栈 底部 





已 








network attack DDDDDDDDDDD | DDDD | DDDD 








name EBP ret 
&name 


(0) 堆栈 溢出 状态 
17 缓冲 区 溢出 操作 示例 
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3. 缓冲 区 溢出 攻击 

根据 实现 目标 的 不 同 ,缓冲 区 溢出 攻击 主要 分 为 改变 程序 逻辑 攻击 和 破坏 敏感 数据 攻 
击 两 种 类 型 。 其 中 ,破坏 敏感 数据 攻击 主要 是 对 缓冲 区 中 的 数据 进行 自 改 操作 ; 而 改变 程 
序 边 辑 攻击 不 仅仅 针对 某 个 或 某 些 数据 ,更 是 针对 整个 被 攻击 系统 。 改 变 程序 逻辑 攻击 虽 
然 破坏 的 不 是 敏感 数据 ,但 是 攻击 者 可 以 通过 改变 这 些 数 据 来 改变 原 有 的 程序 逻辑 ,以 此 获 
取 对 本 地 或 远程 被 攻击 系统 的 控制 权 。 

图 1-8 所 示 为 实施 缓冲 区 洲 出 攻击 的 一 种 方法 , 它 属 于 改变 程序 逻辑 攻击 方式 。 如 果 
是 破坏 敏感 数据 攻击 , 则 只 需要 前 面 的 两 步 操 作 。 


人 


攻击 者 被 攻击 系统 
| 、， 注入 恶意 数据 






缓冲 区 溢出 
重 定向 到 攻击 程序 


执行 攻击 程序 


制 权 一 一 | 


执行 任意 程序 


图 1-8 缓冲 区 溢出 攻击 过 程 


(1) 注入 恶意 数据 。 恶 意 数据 是 指 用 于 实现 攻击 的 数据 , 它 的 内 容 将 影响 攻击 模式 中 
的 后 续 活动 能 否 顺利 进行 。 恶 意 数 据 可 以 通过 命令 行 参数 环境 变量 .输入 文件 或 网 络 数 据 
注入 到 被 攻击 系统 。 

(2) 缓冲 区 溢出 。 实 现 缓冲 区 溢出 的 前 提 条 件 是 发 现 系 统 中 存在 的 可 以 被 利用 的 缓冲 
区 溢出 漏洞 。 只 有 在 发 现 了 可 被 利用 的 漏洞 后 , 才 可 以 在 特定 外 部 输入 条 件 的 作用 下 ,迫使 
缓冲 区 溢出 的 发 生 。 

(3) 控制 流 重 定 向 。 控 制 流 重 定向 是 将 系统 从 正常 的 控制 流程 转向 非 正常 流程 的 过 
程 ,传统 做 法 是 通过 改写 位 于 堆栈 上 的 函数 返回 地 址 来 改变 指令 流程 ,并 借助 指令 (如 NOP 
指令 ) 提 高 重 定向 的 成 功率 。 除 此 之 外 .还 可 以 通过 改写 被 调用 函数 栈 上 保存 的 调用 函数 栈 
的 栈 地 址 改写 指针 改写 跳 转 地 址 等 方式 实现 。 

(4) 执行 攻击 程序 。 当 控制 流 被 成 功 地 重 定向 到 攻击 程序 的 位 置 时 ,攻击 程序 得 以 运 
行 。 攻 击 程序 专 指 真正 实现 攻击 的 代码 部 分 , 称 为 有 效 载荷 (payload) 。 在 攻击 中 ,有 效 载 
荷 可 能 以 可 执行 的 二 进 制 代 码 形式 放置 在 恶意 数据 中 ,这 种 有 效 载 荷 用 于 产生 命令 解释 器 
(shellcode)。 这 是 因为 ,攻击 者 为 达到 控制 被 攻击 系统 的 目的 ,通常 会 利用 缓冲 区 漏洞 来 获 
得 被 攻击 系统 的 cmd shell ,能 为 攻击 者 提供 cmd shell 的 代码 被 称 为 Shellcode。 此 外 ,有 效 
载荷 也 可 能 是 已 经 存在 于 内 存 中 的 代码 ,相应 的 攻击 技术 称 为 注入 攻击 。 
















| 获得 控 
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1.4.6 电子 邮件 攻击 


电子 邮件 攻击 是 一 种 专门 针对 电子 邮件 系统 的 DoS 攻击 方式 。 由 于 电子 邮件 在 互联 
网 中 的 应 用 非常 普遍 ,同时 与 电子 邮件 相关 的 SNMP、POP3 和 IMAP 等 协议 在 设计 上 都 存 
在 一 定 的 安全 漏洞 ,为 攻击 的 实施 提供 了 可 被 利用 的 资源 。 

1. 电子 邮件 攻击 的 概念 

电子 邮件 攻击 是 利用 电子 邮件 系统 协议 和 工作 系统 机 制 存 在 的 安全 漏洞 ,通过 利用 或 
编写 特殊 的 电子 邮件 软件 ,在 短 时 间 内 向 指定 的 电子 邮件 (被 攻击 对 象 ) 连 续 发 送 大 容量 的 
邮件 ,使 电子 邮件 系统 因 带 宽 .CPU 存储 空间 等 资源 被 耗 尽 而 无 法 提供 正常 服务 。 为 实现 
攻击 而 编写 的 特殊 程序 称 为 邮件 炸弹 (E-mail bomber) ,电子 邮件 攻击 也 称 为 电子 邮件 
炸弹 。 

电子 邮件 攻击 存在 多 种 形式 ,主要 有 : 通过 监听 网 络 中 传输 的 电子 邮件 数据 包 或 截获 
正在 传输 的 电子 邮件 ,窃取 和 算 改 邮件 数据 ; 通过 伪造 的 发 送 人 电子 邮件 地 址 对 指定 的 目 
标 邮 箱 进行 欺骗 性 攻击 ; 通过 发 送 大 量 的 垃圾 邮件 产生 拒绝 服务 攻击 。 

目前 ,电子 邮件 已 经 成 为 互联 网 上 信息 交换 的 主要 方式 ,邮件 收发 过 程 的 安全 性 和 可 靠 
性 直接 影响 着 邮件 使 用 者 之 间 的 信息 交流 ,尤其 是 Internet 上 的 一 些 商 务 邮 件 更 是 如 此 。 
正 是 因为 邮件 的 重要 性 ,攻击 者 会 收集 一 些 重要 的 邮箱 地 址 ,出 于 种 种 目的 向 指定 的 邮箱 发 
起 攻击 , 轻 则 扰乱 邮件 的 正常 收发 , 重 则 导致 邮件 系统 瘫痪 。 以 攻击 者 频繁 向 指定 的 邮箱 发 
送 大 容量 邮件 (一 般 为 携带 大 附件 的 邮件 ) 为 例 , 因 为 每 一 个 邮箱 都 有 容量 限制 ,如 果 短 期 内 
接收 到 的 邮件 大 小 超过 了 该 邮箱 的 最 大 容量 ,该 邮箱 就 会 因 没 有 存储 空间 而 拒 收 正常 的 邮 
件 。 另 外 ,即使 是 在 邮箱 的 功能 中 设置 了 * 当 容量 超过 某 一 预 设 值 时 系统 将 自动 删除 前 面 的 
邮件 ”, 但 持续 攻击 行为 在 邮件 服务 器 上 产生 的 日 志文 件 可 能 会 迅速 耗 尽 硬盘 分 配 的 存储 空 
间 ,如 果 对 日 志文 件 的 管理 不 当 , 则 可 能 导致 邮件 服务 器 的 崩溃 。 

2. 目录 收割 攻击 

目录 收割 攻击 (Directory Harvest Attack,DHA) 是 指 攻击 者 通过 编写 脚本 程序 ,对 特 
定 域名 下 所 有 可 能 存在 的 电子 邮箱 地 址 进行 猜测 ,以 获得 该 域名 下 所 有 邮箱 地 址 的 攻击 方 
式 。 如 图 1-9 所 示 ,根据 SMTP 的 工作 原理 , 当 邮 件 服务 器 接收 到 一 个 无 效 的 邮件 地 址 时 ， 
该 邮件 服务 器 会 向 邮件 发 送 者 (发 送 者 的 邮箱 地 址 ) 返 回 一 个 标准 的 错误 信息 ; 否则 ,邮件 
服务 器 会 返回 一 个 表示 邮件 已 成 功 接收 的 应 答 。 基 于 这 一 工作 原理 ,攻击 者 就 能 够 根据 回 
复 的 内 容 判 断 某 一 邮件 地 址 是 否 有 效 , 从 而 收割 有 效 邮箱 地 址 ,加 入 到 垃圾 邮件 制造 者 数据 
库 或 提供 给 地 下 黑色 产业 链 进行 件 利 。 

DHA 猜测 特定 域名 下 邮箱 地 址 的 方式 主要 有 两 种 : 一 种 直接 通过 暴力 方式 穷尽 所 有 
的 字母 和 数字 组 合 ; 另 一 种 是 采用 字典 攻击 ,攻击 者 在 根据 人 们 的 习惯 构造 了 邮箱 地 址 字 
典 库 后 进行 字典 攻击 。 

在 互联 网 快速 发 展 的 今天 ,用 户 的 电子 邮箱 地 址 属于 个 人 隐私 ,一 般 仅 会 在 固定 范围 内 
使 用 ,避免 接收 垃圾 邮件 或 遭受 攻击 。 为 此 ,保护 用 户 电 子 邮箱 地 址 是 互联 网 环境 中 保护 个 
人 隐私 的 一 个 方面 。 

需要 说 明 的 是 ,电子 邮件 攻击 与 垃圾 邮件 (spam) 之 间 是 有 区 别 的 ,其 中 垃圾 邮件 被 定 
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攻 二 者 地 址 发 送 邮 件 。 domain.cn 部 分 发 送 失 败 ” domain.cn 攻击 者 一 和 地 址 址 domain.cn 
邮件 服务 器 邮件 服务 器 一 邮件 服务 器 
abcdef@domain.cn La 1 abcdef@domain.cn X | abcdef@domain.cn 
abc123@domain.cn Le abcl23@domain.cn > abc123@domain.cn V 
wangjsnj@domain.cn | | wangjsnj@domain.cn X| wangjsnj@domain.cn 
jsnjjspi@domain.cn Ld jsnjjspi@domain.cn > jsnjjspi@domain.cn 不 
nanjabcq@domain.cn [~ 4 nanjabcq@domain.cn X| nanjabcq@domain.cn 


图 1-9 DHA 的 工作 原理 


义 为 不 请 自 来 的 “大 量 " 邮 件 , 其 特征 是 发 送 者 在 同一 时 间 内 将 同一 份 电子 邮件 发 给 大 量 不 
同 的 用 户 ,主要 是 一 些 公 司 用 于 对 其 产品 的 宣传 或 发 送 一 些 虚假 广告 信息 ,一 般 不 会 对 收 件 
人 造成 伤害 ; 而 电子 邮件 攻击 是 一 种 利用 邮件 协议 漏洞 的 网 络 攻击 行为 。 


1.4.7 高 级 持续 威胁 


近年 来 ,网 络 攻击 手段 在 实践 中 不 断 翻 新 ,为 安全 防御 提出 了 更 高 要 求 和 新 的 挑战 。 原 
来 单一 的 网 络 攻击 方式 已 经 无 法 适应 当前 复杂 环境 下 的 要 求 , 所 以 综合 技术 和 非 技术 因素 
的 复合 型 攻击 方式 出 现 了 。 

1. 高 级 持续 威胁 (APT) 的 概念 

高 级 持续 威胁 (Advanced Persistent Threat, APT) 也 称 为 针对 特定 目标 的 攻击 ,最 初 
指 某 些 组 织 和 团体 以 挖掘 安全 数据 为 目的 ,长 时 间 内 访问 某 一 网 络 的 网 络 间谍 活动 ,现在 被 
定义 为 为 了 获取 某 个 组 织 甚至 是 国家 的 重要 信息 ,有 和 针对 性 地 进行 的 复杂 且 多 方位 的 攻击 
方法 。APT 并 非 一 种 新 的 网 络 攻击 方法 和 单一 类 型 的 网 络 威胁 ,而 是 一 种 持续 、 复 杂 的 网 
络 攻击 活动 。 目 前 ,APT 不 仅仅 是 国家 和 组 织 对 抗 过 程 中 经 常 使 用 的 攻击 手段 ,民间 专业 
黑客 组 织 也 会 利用 APT 攻击 手段 发 起 危害 较 大 的 攻击 ,经 常 成 为 经 济 犯罪 团伙 (尤其 是 地 
下 黑色 产业 链 ) 使 用 的 犯罪 手段 。 

在 信息 安全 领域 中 ,APT 曾 一 度 以 国家 重要 信息 基础 设施 (如 政府 、 金 融 . 电 信 、 电 力 、 
能 源 .军事 等 网 络 ) 和 信息 系统 为 目标 ,在 全 球 大 数据 背景 下 , 旨 在 破坏 工业 基础 设施 .窃取 
关于 国家 安全 和 国计民生 的 重要 情报 。 例 如 ,2011 年 曝光 的 美国 信息 安全 厂商 RSA 令 牌 
种 子 破解 事件 ,众多 用 户 个 人 信息 被 窃取 ; 2013 年 曝光 的 国际 黑客 针对 美国 几 大 银行 发 起 
的 APT 攻击 , 算 改 用 户 信用 卡 数据 库 的 取款 上 限 ,在 全 球 利用 复制 的 卡 同步 信用 卡 取款 套 
现 ,短期 内 就 窃取 了 4500 万 美金 ; 2013 年 3 月 美国 曾 利 用 “ 震 网 ”蠕虫 病毒 攻击 伊朗 的 铀 浓 
缩 设备 ,造成 伊朗 核电 站 推迟 发 电 。 除 此 之 外 ,2013 年 曝光 的 美国 棱镜 事件 .2015 年 曝光 的 
乌克兰 多 家 电厂 遭 攻击 停电 事件 等 ,充分 说 明了 APT 对 全 球 信息 安全 领域 产生 威胁 的 严 
重 性 。 目 前 , 随 着 移动 互联 网 、 物 联网 等 技术 的 快速 应 用 ,APT 已 经 成 为 黑客 攻击 的 重要 
手段 。 
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2. APT 的 特点 

APT 是 一 种 复杂 的 网 络 攻击 活动 , 它 在 受害 者 完全 不 知情 或 即使 知道 攻击 已 经 发 生 ， 
但 不 清楚 原因 而 无 法 采取 行动 的 状态 下 进行 。 传 统 安全 检测 技术 采用 的 是 基于 已 知 知识 的 
签名 检测 技术 ,假设 前 提 是 威胁 已 知 并 分 析出 特征 (签名 ) ,针对 已 知 的 威胁 进行 检测 。 然 而 
APT 攻击 大 量 使 用 多 种 高 技术 手段 组 合 各 类 未 知 威胁 来 发 起 攻击 ,攻击 者 先 收 集 攻 击 目标 
的 环境 和 防御 手段 的 信息 ,了 解 信息 后 再 有 针对 性 地 发 起 攻击 (如 利用 0day 漏洞 ), 可 以 绕 
过 传统 入 侵 检测 系统 (IDS) 的 检测 ,利用 木马 或 已 知 木 马 的 变形 ,可 以 绕 过 传统 杀毒 软件 的 
检测 ,利用 加 密 可 以 绕 过 审计 检测 ,利用 搜索 引擎 反射 可 以 绕 过 可 信和 链 路 检测 ,等 等 。 隐 项 
性 和 持续 性 是 APT 的 两 大 特点 。 

(1) 隐藏 性 。 隐 蔽 性 也 称 为 潜伏 性 ,是 指 APT 威胁 可 能 在 用 户 环境 中 存在 较 长 的 时 
间 , 而 很 难 被 传统 的 安全 防御 攻击 检测 到 。 在 潜伏 期 间 , 攻 击 者 通常 利用 目标 主机 上 已 有 的 
工具 或 安装 安全 系统 无 法 检测 到 的 工具 ,通过 常用 网 络 端口 和 系统 漏洞 ,不 断 收集 各 种 信 
息 , 直 到 收集 到 重要 情报 。 发 动 APT 攻击 的 黑客 ,其 目的 往往 不 是 为 了 在 短 时 间 内 获 利 ， 
而 是 将 “被 控 主 机 ”当成 跳板 ,持续 搜索 ,直到 能 彻底 掌握 所 针对 的 目标 人 、 事 、 物 。 这 种 攻击 
方式 通常 是 隐蔽 的 ,攻击 者 通常 会 通过 各 种 措施 来 掩盖 攻击 行为 ,避免 在 日 志 中 留 下 入侵 
证 据 。 

(2) 持续 性 。 持 续 性 体现 在 APT 不 是 为 了 在 短期 内 获 利 , 攻 击 者 经 常会 有 针对 性 地 进 
行为 期 数 月 甚至 是 数 年 的 精心 准备 。 从 熟悉 用 户 网 络 环境 开始 , 先 收集 大 量 关 于 用 户 业务 
流程 和 目标 系统 使 用 情况 的 精确 信息 ,搜集 应 用 程序 与 业务 流程 中 的 安全 隐患 ,定位 关键 信 
息 的 存储 位 置 与 通信 方式 。 如 果 一 个 攻击 手段 无 法 达到 目的 ,攻击 者 会 不 断 尝 试 其 他 的 攻 
击 手段 ,以 及 渗透 到 网 络 内 部 后 长 期 潜伏 ,不断 收集 各 类 信息 ,通过 精心 构造 的 命令 ,控制 网 
络 定期 回 送 目标 文件 进行 分 析 , 直 到 收集 到 重要 情报 。 

3. APT 主要 环节 

APT 攻击 是 一 个 复杂 的 活动 ,主要 包括 侦察 准备、 锁定 .进一步 渗透 .数据 收集 、 维 持 
等 多 个 过 程 。APT 攻击 主要 包括 攻击 准备 .和 人 侵 实施 和 后 续 攻 击 3 个 环节 ,如 图 1-10 所 
示 。 在 具体 的 APT 攻击 过 程 中 ,这 3 个 环节 相互 交织 ,相互 影响 ,并 没有 严格 的 界线 。 为 了 
从 技术 环节 做 更 好 的 分 析 ,下面 分 别 具 体 介 绍 。 
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图 1-10 APT 攻击 的 3 个 环节 
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(1) 攻击 准备 。 在 攻击 准备 环节 ,攻击 者 主要 为 实施 人 侵 做 前 期 的 准备 工作 ,主要 包括 
以 下 几 个 方面 。 

Q@ 信息 收集 。 通 过 收集 被 攻击 目标 的 网 络 环境 、 安 全 保护 体系 、 人 际 关系 及 可 能 的 重 
要 资产 等 信息 ,为 制订 入 侵 方案 做 前 期 的 准备 (如 开发 特定 的 攻击 工具 )。 信 息 收集 是 贯 
全 攻击 生命 过 程 的 ,攻击 者 在 攻击 计划 中 每 获得 一 个 新 的 控制 点 ,就 能 掌握 更 多 的 信息 , 指 
导 后 续 的 攻击 。 

@ 技术 准备 。 技 术 准 备 环节 是 指 根据 获取 的 信息 ,攻击 者 做 出 相应 的 技术 性 规划 , 常 
用 的 技术 手段 包括 设计 入 侵 路 径 并 选 定 初始 目标 发现 可 利用 的 漏洞 并 编写 利用 代码 、 木 马 
准备 .控制 服务 器 和 跳板 等 。 

名 周边 渗透 。 攻 击 者 会 人 侵 一 些 外 围 目标 ,这 些 受 害 者 本 身 不 是 攻击 者 攻击 的 目标 ， 
但 因为 可 以 被 攻击 者 用 来 做 跳板 .DDoS 服务器、 获取 相关 信息 等 而 被 入 侵 。 

(2) 入 侵 实 施 。 在 和 人 侵 实 施 环节 ,攻击 者 针对 实际 的 攻击 目标 逐步 展开 攻击 ,主要 包括 
以 下 几 个 方面 。 

常规 手段 。 常 规 手 段 是 指 攻击 者 利用 常规 的 网 络 攻 击 手 段 , 将 恶意 代码 植 人 到 系统 
中 。 常 见 的 方法 有 通过 病毒 传播 感染 目标 .通过 薄弱 安全 意识 和 薄弱 的 安全 管理 控制 目标 、 
通过 社会 工程 学 进行 诱导 、 通 过 供应 链 植 和 人 等 。 

@ 缺陷 和 漏洞 利用 。 缺 陷 是 指 信息 系统 中 广泛 存在 且 事实 上 已 知 的 欠缺 或 不 够 完 
的 地 方 。 系 统 中 的 缺陷 主要 包括 默认 密码 、 弱 密码 .默认 配置 和 错误 配置 .计算 机 和 网 络 的 
脆弱 性 等 。 这 些 缺 陷 在 成 本 、 时 间 和 可 替代 等 方面 有 时 是 无 法 按 需 修复 的 ,在 未 修复 之 前 就 
可 能 会 被 利用 。 利 用 漏洞 入 侵 是 专业 黑客 人 侵 重点 目标 常用 的 方式 。 当 重点 目标 的 安全 防 
范 意识 和 管理 制度 都 比较 健全 时 , 单 靠 缺陷 利用 是 不 容易 实现 入侵 的 ,这 时 攻击 者 会 利用 系 
统 中 存在 的 安全 漏洞 ,特别 是 攻击 者 自己 通过 研究 发 现 而 其 他 人 尚未 知道 的 安全 漏洞 (0day 
漏洞 ) 发 起 攻击 。 这 类 攻击 从 表面 上 看 是 对 系统 的 合法 操作 ,所 以 受害 者 很 难 会 发 现 。 主 要 
的 漏洞 包括 桌面 文件 处 理 类 漏洞 ,浏览 器 类 漏洞 桌面 网 络 应 用 漏洞 ,网 络 服务 类 漏洞 .系统 
逻辑 类 漏洞 ,对抗 类 漏洞 本 地 提 权 漏洞 等 。 

@ 木马 植 信 。 在 被 攻击 主机 上 植 入 事先 准备 的 木马 是 ATP 攻击 过 程 中 最 为 重要 的 一 
个 环节 。 木 马 植 入 方式 主要 包括 远程 下 载 植 入 、 绑 定 文档 植 入 、 绑 定 程序 植 和 等。 木马 植 入 
后 ,攻击 者 根据 需要 将 会 对 木马 进行 激活 和 控制 。 

@ 渗透 提取 。 当 攻击 者 获得 了 对 内 网 中 一 台 主 机 的 控制 权 后 ,为 了 实现 对 攻击 目标 的 
进一步 控制 ,还 需要 在 内 网 中 进行 渗透 和 提取 ,主要 包括 确定 立足 点 ,渗透 和 特权 获取 3 项 。 
其 中 ,攻击 者 在 获得 了 内 网 中 某 一 台 主 机 的 控制 权 后 ,相当 于 获得 了 一 个 内 网 的 立足 点 ,而 
内 网 一 旦 进入 则 突破 了 网 络 已 有 的 安全 边界 。 之 后 ,针对 内 网 的 安全 防御 就 失去 了 作用 , 攻 
击 者 可 以 组 合 如 社会 工程 学 ,文件 共享 服务 器 自 改 程序 .本 地 嗅 探 ,漏洞 等 手段 ,通过 借助 立 
足 点 ,对 内 网 中 的 其 他 主机 进行 渗透 ,以 获得 更 多 主机 的 控制 权 。 攻 击 者 通过 对 更 多 主机 的 
控制 ,逐步 渗透 到 目标 主机 上 并 获得 对 该 主机 的 特权 。 至 此 ,攻击 者 成 功 完成 了 入 侵 。 

(3) 后 续 攻击 。 在 后 续 攻 击 环节 ,攻击 者 将 窃取 所 需要 的 信息 或 进行 破坏 ,同时 还 会 在 
内 部 进行 深度 渗透 ,以 保证 攻击 行为 被 发 现 后 还 能 够 继续 潜伏 下 来 ,不 会 前 功 尽 弃 。 本 环节 
主要 包括 以 下 几 个 方面 。 

@ 重要 信息 收集 。 攻 击 者 利用 获取 到 的 权限 和 资源 ,分 析 和 收集 对 攻击 者 有 价值 的 
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信息 。 

@ 传送 与 控制 。 对 于 获取 到 的 信息 ,攻击 者 需要 将 其 传 回 到 由 自己 控制 的 外 部 服务 器 
上 。 为 了 逃避 检测 和 审计 ,在 信息 传 回 时 一 般 会 模拟 网 络 上 一 些 常 见 的 公开 协议 ,并 将 数据 
进行 加 密 。 一 些 木马 还 会 继续 保存 下 来 并 被 长 期 控制 ,实现 与 外 部 服务 器 之 间 的 通信 。 另 
外 ,针对 一 些 物理 隔离 的 网 络 ,攻击 者 一 般 使 用 移动 介质 摆渡 的 方式 进行 数据 的 传送 。 不 
过 ,一 些 破 坏 性 木马 不 需要 传送 和 控制 就 可 以 进行 长 期 潜伏 和 等 待 ,并 按照 事先 确定 的 人 逻辑 
条 件 ,触发 破坏 流程 。 例 如 ,2013 年 美国 针对 伊朗 核电 站 的 “ 震 网 ”蠕虫 病毒 , 它 在 检测 到 所 
处 的 网 络 环境 可 能 是 伊朗 核电 站 时 ,就 修改 离心 机 转速 进行 破坏 。 

回 深度 渗透 。 为 了 实现 对 已 攻击 目标 的 长 期 控制 ,确保 在 被 受害 者 发 现 后 还 能 复活 ， 
攻击 者 会 渗透 周边 的 一 些 机 器 ,然后 植 人 木马 。 但 该 木马 可 能 处 于 非 激活 状态 ,检测 和 判断 
网 络 上 是 否 有 存活 的 木马 ,如 果 有 则 继续 潜伏 以 避免 被 检测 到 ,如 果 没 有 了 , 则 启动 工作 。 

中 痕迹 清除 。 为 了 避免 攻击 行为 被 发 现 ,攻击 者 还 需要 做 一 些 痕迹 清除 工作 ,主要 清 
除 一 些 日 志 信 息 , 以 躲避 一 些 常规 的 检测 手段 。 


1.4.8 社会 工程 学 


近年 来 , 随 着 移动 互联 网 的 广泛 应 用 ,各 种 移动 智能 终端 在 给 人 们 的 生活 带 来 便捷 的 同 
时 ,也 伴随 着 各 类 安全 问题 和 隐患 。 攻 击 者 利用 人 的 弱点 来 实施 网 络 攻击 的 现象 越 来 越 明 
显 ,并 呈现 上 升 趋势 ,目前 近乎 泛滥 的 电信 诈骗 就 充分 说 明了 这 一 点 。 

1. 社会 工程 学 的 概念 

社会 工程 学 (Social Engineering) 是 一 种 针对 受害 者 心理 弱点 、 本 能 反应 、 好 奇 心 ,信任 、 
贪 禁 等 心理 陷阱 采取 诸如 欺骗 伤害 等 危害 手段 ,取得 自身 利益 的 攻击 方法 。 准 确 地 说 , 社 
会 工程 学 不 是 一 门 科 学 ,而 是 一 门 与 人 们 日 常 活动 相关 的 艺术 和 窗 门 。 有 人 认为 社会 工程 
学 不 应 该 称 为 一 门 科学 ,因为 它 不 是 总 能 重复 和 成 功 ,而 且 在 信息 容量 足够 大 的 情况 下 ,会 
自动 失效 。 社 会 工程 学 的 窍门 也 蕴含 了 各 式 各 样 灵活 的 构思 与 变化 因素 。 

社会 工程 学 利用 了 人 们 的 心理 特征 ,通过 骗取 用 户 的 信任 ,获取 机 密 信息 、 系 统 设置 等 
不 公开 资料 ,为 网 络 攻击 和 病毒 传播 创造 有 利 条 件 。 社 会 工程 学 是 入 侵 手 段 的 最 大 化 体现 ， 
不 仅 能 够 利用 系统 漏洞 进行 人 侵 ,还 能 够 通过 人 性 的 弱点 进行 人 侵 。 当 攻击 者 将 恶意 钓鱼 
网 络 攻击 、 网 页 挂 马 攻击 、 软 件 漏洞 利用 攻击 等 技术 攻击 手段 与 社会 工程 学 融 为 一 体 时 , 传 
统 的 网 络 安全 体系 将 会 土崩瓦解 。 网 络 安全 技术 发 展 到 一 定 程度 后 ,起 决定 因素 的 不 再 是 
技术 问题 ,而 是 人 和 管理 。 面 对 部 署 了 防火 墙 \ 入 侵 检测 系统 、 入 侵 防御 系统 等 众多 安全 设 
备 的 内 部 网 络 ,在 利用 技术 一 时 无 法 奏效 的 情况 下 ,攻击 者 可 以 借助 社会 工程 学 方法 ,从 目 
标 内 部 人 手 , 对 内 部 用 户 运用 心理 战术 ,通过 搜集 大 量 的 目标 外 围 信息 甚至 内 部 系统 管理 员 
的 个 人 隐私 ,同时 配合 技术 手段 对 目标 展开 攻击 。 

2. 社会 工程 学 网 络 攻 击 方式 

随 着 网 络 安 全 防护 技术 及 安全 防御 产品 应 用 的 日 益 普及 ,很 多 常规 的 网 络 人 侵 手 段 实 
施 起 来 越 来 越 难 。 在 这 种 情况 下 ,更 多 的 黑客 将 攻击 手法 转向 了 社会 工程 学 ,在 不 断 应 用 过 
程 中 ,社会 工程 学 攻击 手段 不 断 成 熟 。 黑 客 在 实施 社会 工程 学 攻击 之 前 必须 掌握 一 定 的 心 
理学 、 人 际 关系 ,行为 学 等 知识 和 技能 ,以 便 搜 集 和 掌握 实施 社会 工程 学 攻击 行为 所 需要 的 
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信息 。 目 前 网 络 环境 中 ,常见 的 社会 工程 学 攻击 方式 主要 有 以 下 几 种 类 型 。 

(1) 网 络 钓鱼 式 攻击 。 网 络 钓鱼 作为 一 种 网 络 诈骗 手段 ,主要 利用 人 们 的 心理 活动 来 
实现 诈骗 。 例 如 ,攻击 者 利用 欺骗 性 的 电子 邮件 或 伪造 的 Web 站 点 来 实施 诈骗 活动 ,受骗 
者 往往 会 泄露 个 人 的 隐私 信息 ,如 在 对 方 的 诱导 下 泄露 自己 的 信用 卡号 、 账 户 和 口令 等 。 近 
几 年 ,伪装 成 各 大 银行 主页 ,通过 恶意 网 站 进行 诈骗 的 事件 频繁 发 生 。 网 络 钓鱼 是 基于 人 性 
贪 禁 及 容易 取信 于 人 的 心理 因素 来 进行 攻击 的 。 常 见 的 网 络 钓鱼 攻击 手段 有 利用 虚假 邮件 
进行 攻击 ,利用 虚假 网 站 进行 攻击 、 利 用 QQ 及 微 信 等 即时 通信 工具 进行 攻击 、 利 用 黑客 木 
马 进 行 攻击 ,利用 系统 漏洞 进行 攻击 、 利 用 移动 通信 设备 进行 攻击 等 。 

(2) 密码 心理 学 攻击 。 密 码 心 理学 是 从 人 们 心理 入 手 , 分 析 对 方 心理 现状 和 变化 ,从 而 
更 快 地 得 到 所 需要 的 密码 。 密 码 心 理学 采用 的 是 心理 战术 ,而 非 技 术 破 解 方法 。 常 见 的 密 
码 心 理学 攻击 方式 有 : 针对 被 攻击 者 生日 或 出 生年 月 日 的 密码 破解 ; 针对 用 户 移动 电话 号 
码 或 当地 区 号 进行 密码 破解 ; 针对 用 户 身 份 证 号 码 进行 密码 破解 ; 针对 用 户 姓 名 或 其 亲友 
及 朋友 姓名 进行 密码 破解 ; 针对 一 些 网 站 服务 器 默认 使 用 的 密码 进行 破解 ; 针对 类 似 于 
“1234567”abc123” 等 常用 密码 进行 破解 等 。 

(3) 收集 敏感 信息 攻击 。 攻 击 者 可 通过 在 QQ、 微 信 、 博 客 等 通信 平台 上 收集 被 攻击 者 
的 相关 信息 ,经 整理 分 析 后 作为 实施 攻击 的 参考 和 依据 。 常 见 的 收集 敏感 信息 攻击 手段 有 : 
根据 搜索 引擎 收集 目标 信息 和 资料 ; 根据 踩点 和 调查 收集 目标 信息 和 资料 ; 根据 网 络 钓鱼 
收集 目标 信息 和 资料 ; 根据 企业 人 员 管 理 中 存在 的 缺陷 收集 目标 信息 和 资料 。 

(4) 恐吓 被 攻击 者 攻击 。 攻 击 者 在 实施 社会 工程 学 攻击 过 程 中 ,常常 会 利用 被 攻击 目 
标 管理 人 员 对 安全 ,漏洞 .病毒 等 内 容 的 敏感 性 ,以 权威 机 构 的 身份 出 现 ,散布 安全 警告 . 系 
统 风险 之 类 的 消息 ,使 用 危言耸听 的 伎俩 恺 吓 .欺骗 被 攻击 者 ,并 声称 不 按照 他 们 的 方式 去 
处 理 问 题 就 会 造成 非常 严重 的 危害 和 损失 ,进而 借 此 方式 实现 对 被 攻击 者 敏感 信息 的 获取 。 

(5) 反 向 社会 工程 学 攻击 。 反 向 社会 工程 学 是 指 攻击 者 通过 技术 或 非 技术 手段 给 网 络 
或 者 计算 机 制造 故障 ,使 被 攻击 者 深信 问题 的 存在 , 诱 使 工作 人 员 或 者 网 络 管理 人 员 透 漏 或 
者 泄露 攻击 者 需要 获取 的 信息 。 社 会 工程 学 陷阱 就 是 通过 交谈 欺骗、 假冒 等 方式 ,从 合法 
用 户 中 套 取 相 关 的 信息 。 这 种 攻击 方式 比较 隐蔽 ,危害 性 较 大 ,而且 不 容易 防范 。 

3. 社会 工程 学 攻击 步骤 

与 技术 性 网 络 攻击 方式 不 同 , 社 会 工程 学 攻击 在 实施 前 都 要 完成 前 期 准备 工作 ,收集 和 
分 析 所 需要 的 信息 ,再 确定 下 一 步 的 控制 对 象 和 范围 。 社 会 工程 学 攻击 的 主要 步骤 如 下 。 

(1) 信息 收集 。 在 社会 工程 学 攻击 的 前 期 ,需要 针对 具体 攻击 目标 和 攻击 要 求 ,收集 被 
攻击 者 的 相关 信息 。 一 方面 ,社会 工程 学 攻击 是 一 个 较为 复杂 的 过 程 ,在 攻击 之 前 需要 制订 
详尽 的 计划 ,在 攻击 过 程 中 需要 综合 运用 各 方面 的 技巧 ,一 些 熟练 的 攻击 者 经 常 只 需要 通过 
简单 的 方法 就 可 以 达到 既定 目标 ; 另 一 方面 ,一 些 人 们 平常 不 太 在 意 的 信息 (如 电话 号 码 、 
生日 .单位 的 工 号 等 ) ,对 于 攻击 者 来 说 都 可 能 蕴含 着 一 些 可 能 被 利用 的 有 效 攻 击 信息 。 在 
进行 信息 收集 之 前 ,需要 做 一 些 前 期 的 准备 工作 .如 当 攻 击 者 锁定 的 攻击 目标 是 一 个 网 络 安 
全 设备 的 管理 人 员 时 ,攻击 者 在 实施 攻击 之 前 至 少 需要 学 习 和 掌握 有 关 网 络 安全 的 基础 知 
识 ; 否则 无 法 与 对 方 在 同一 语言 体系 内 对 话 。 

(2) 心理 学 应 用 。 对 于 收集 到 的 信息 ,进行 分 类 汇总 和 模拟 测试 ,同时 构造 陷阱 ,以 达 
到 进一步 获取 信息 并 逐步 实施 攻击 的 目的 。 诱 导 、 伪 装 和 信任 是 社会 工程 学 中 心理 学 应 用 
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的 重要 手段 。 

(3) 痕迹 清除 。 痕 迹 清除 是 网 络 攻击 过 程 中 一 个 重要 的 环节 。 与 实施 技术 攻击 一 样 ， 
社会 工程 学 攻击 过 程 中 也 需要 采取 相应 的 方式 ,避免 将 攻击 痕迹 呈现 给 被 攻击 者 。 

在 社会 工程 学 攻击 中 ,人 是 整个 安全 体系 中 最 为 重要 也 是 最 可 能 出 现 问题 的 一 个 环节 。 


1.5 网 络 攻击 的 实施 过 程 


一 次 完整 的 网 络 攻击 行为 根据 其 生命 周期 可 以 分 为 攻击 发 起 阶段 .攻击 作用 阶段 和 攻 
击 结果 阶段 3 个 过 程 。 


1.5.1 攻击 发 起 阶段 


在 攻击 发 起 阶段 中 ,攻击 者 进行 攻击 前 的 准备 ,如 确定 攻击 所 针对 的 操作 系统 类 型 .应 
用 平台 的 类 型 等 ,这 些 系统 和 应 用 程序 存在 哪些 可 以 利用 的 漏洞 等 。 在 众多 网 络 攻 击 中 , 绝 
大 多 数 攻击 在 发 起 阶段 中 ,攻击 者 考虑 最 多 的 是 选择 哪 类 平台 ,利用 哪 种 漏洞 发 起 攻击 ,并 
以 此 作为 对 攻击 行为 进行 有 效 分 析 、 评 估 、 防 范 的 基础 。 

1. 平台 依赖 性 

很 多 攻击 都 是 针对 一 定 范围 内 的 平台 发 起 的 ,这 个 平台 可 能 是 操作 系统 平台 ,也 可 能 是 
应 用 平台 。 例 如 ,2017 年 5 月 12 日 晚 在 全 球 爆 发 的 “永恒 之 蓝 ”" 勒 索 蠕 虫 就 是 通过 
Windows 操作 平台 存在 的 安全 漏洞 而 传播 的 ,而 分 别 于 2003 年 8 月 12 日 在 全 球 爆发 的 冲 
击 波 (Worm. Blaster) 蠕 虫 和 2004 年 5 月 1 日 爆发 的 振 萝 波 (Worm. Sasser) 蠕 虫 可 以 对 
Windows 2000 和 Windows XP 两 种 操作 系统 平台 进行 攻击 。 也 有 一 些 攻击 是 针对 特定 的 
操作 系统 平台 而 发 起 的 ,一 般 来 说 是 针对 某 个 版 本 的 漏洞 而 进行 的 攻击 。 

还 有 一 些 攻击 是 针对 TCP/IP 网 络 体系 中 的 底层 协议 平台 而 发 起 的 。 例 如 ,针对 TCP 
协议 的 同步 包 风 暴 (SYN Flooding) 攻 击 、 针 对 ICMP、UDP 协议 的 攻击 等 。 只 要 连接 到 互 
联网 上 的 计算 机 ,就 需要 运行 TCP/IP 等 协议 软件 ,就 可 能 受到 这 类 攻击 。 

攻击 行为 对 平台 依赖 性 ,反映 出 了 攻击 可 能 影响 的 范围 。 攻 击 对 平台 的 依赖 性 越 强 , 表 
明 该 攻击 所 能 够 影响 的 范围 越 小 ,反之 越 大 。 因 此 ,在 攻击 的 其 他 条 件 ( 如 作用 点 、 攻 击 强 
度 .传播 速度 等 ) 不 变 的 情况 下 ,能 够 对 多 个 平台 (平台 依赖 性 较 弱 ) 发 起 的 攻击 ,其 破坏 力 要 
高 于 那些 只 对 特定 平台 发 起 的 攻击 。 根 据 一 个 攻击 可 能 影响 的 范围 ,可 以 将 平台 依赖 性 分 
为 以 下 几 种 类 型 。 

(1) 平台 依赖 性 强 。 针 对 特定 版 本 (如 Windows Server 2012 或 Windows 10 等 ) 或 特 
定 内 核 (在 Linux 终端 输入 unmae-a 命令 即 可 查看 Linux 的 内 核 版 本 号 ) 的 操作 系统 平台 、 
应 用 平台 起 作用 的 攻击 , 称 为 对 平台 依赖 性 强 。 一 般 来 说 .平台 依赖 性 强 的 攻击 只 能 影响 到 
个 别 类 型 的 操作 系统 或 应 用 系统 ,涉及 的 范围 一 般 很 小 。 

(2) 平台 依赖 性 中 。 针 对 某 一 品牌 或 某 一 品牌 中 的 一 个 或 几 个 系列 的 操作 系统 平台 怠 
应 用 平台 起 作用 的 攻击 , 称 为 对 平台 依赖 性 中 (如 对 Windows 系列 操作 系统 、Linux 系列 操 
作 系 统 发 起 的 攻击 都 属于 此 类 ) 。 例 如 ,2003 年 爆发 的 冲击 波 蠕虫 就 只 针对 Windows 2000 
和 Windows XP 两 种 版 本 。 这 类 攻击 影响 的 是 一 种 或 一 种 中 几 个 系列 的 平台 ,这 些 平台 应 
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用 得 越 广泛 ,这 类 攻击 所 涉及 的 范围 就 越 大 。 

(3) 平台 依赖 性 弱 。 同 时 针对 两 种 或 两 种 以 上 的 操作 系统 平台 或 应 用 平台 起 作用 的 攻 
击 , 称 为 对 平台 依赖 性 弱 。 例 如 光 永 恒 之 蓝 ” 蠕 虫 仅仅 对 Windows 操作 系统 发 起 攻击 ,rpc- 
automounted 缓冲 区 溢出 攻击 可 以 对 Solaris、HP-UX、SGI IRIX 平台 发 起 攻击 。 这 类 攻击 
影响 的 范围 很 广 。 

(4) 无 平台 依赖 性 。 针 对 任何 连接 到 互联 网 上 的 计算 机 都 能 够 起 作用 的 攻击 , 称 为 对 
平台 无 依赖 性 。 例 如 ,针对 TCP、UDP、DHCP 等 标准 的 TCP/IP 协议 发 起 的 攻击 ,以 及 各 
类 DDoS 攻击 等 ,只 针对 具体 的 协议 ,利用 协议 自身 存在 的 漏洞 进行 攻击 ,而 与 平台 无 关 。 
这 类 攻击 针对 的 目标 最 为 广泛 ,涉及 面 最 广 , 理 论 上 任何 连接 到 互联 网 上 的 计算 机 都 可 能 成 
为 被 攻击 目标 。 

2. 漏洞 相关 性 

大 部 分 网 络 攻击 都 是 利用 系统 的 特定 安全 漏洞 发 起 的 ,也 有 少 部 分 攻击 不 需要 利用 漏 
洞 。 根 据 产生 原因 ,将 漏洞 分 为 设计 方面 的 原因 、 实 现 方面 的 原因 和 配置 方面 的 原因 三 类 。 
此 外 ,还 有 一 些 攻击 并 不 是 利用 漏洞 而 发 起 的 ,如 分 布 式 的 流量 攻击 (如 DDoS 攻击 ) ,只 要 
足够 多 的 主机 同时 不 停 地 向 固定 的 被 攻击 目标 或 网 络 重复 发 送 大 量 无 用 的 数据 包 , 就 可 以 
严重 占用 网 络 带宽 ,导致 被 攻击 系统 网 络 堵塞 而 无 法 正常 对 外 提供 服务 , 即 产 生 了 拒绝 服务 
的 攻击 效果 。 

从 对 攻击 与 漏洞 相关 性 的 分 析 可 以 看 出 ,利用 系统 设计 漏洞 或 不 利用 漏洞 发 起 的 攻击 
基本 上 不 受 条 件 约束 或 受 条 件 的 约束 性 非常 弱 , 那 么 其 表现 出 来 的 破坏 力 和 影响 力 就 比较 
大 ,而 且 防 御 起 来 一 般 都 非常 困难 。 而 对 于 利用 实现 漏洞 而 发 起 的 攻击 来 说 ,只 要 打上 相应 
的 补丁 ,就 可 以 防范 相应 的 攻击 。 对 于 利用 配置 漏洞 而 发 起 的 攻击 , 则 需要 认真 分 析 业 务 需 
求 和 配置 之 间 的 关系 ,正确 地 配置 系统 ,从 而 降低 系统 被 攻击 的 可 能 性 。 

从 上 述 的 分 析 可 以 看 出 ,很 多 攻击 都 利用 了 漏洞 ,而 且 利 用 不 同形 式 漏洞 发 起 攻击 的 机 
制 也 很 不 相同 。 因 此 ,正确 地 了 解 每 一 种 攻击 和 漏洞 的 相关 程度 ,采用 有 针对 性 的 应 对 措 
施 ,对 于 有 效 地 防范 攻击 具有 重要 的 意义 。 漏 洞 相关 性 的 判定 原则 如 下 。 

(1) 设计 漏洞 。 在 系统 设计 阶段 出 现 的 问题 ,是 系统 天 生 具 有 的 。 

(2) 实现 漏洞 。 在 编码 过 程 中 ,因为 没有 遵循 严格 的 安全 编码 方法 或 测试 不 严格 而 造 
成 的 漏洞 。 

(3) 配置 漏洞 。 在 使 用 阶段 , 因 用 户 配 置 不 当 而 产生 的 漏洞 。 

(4) 无 。 所 发 起 的 攻击 与 漏洞 之 间 没 有 直接 的 关系 ,即使 漏洞 不 存在 也 照样 能 够 实现 
攻击 目的 。 


1.5.2 攻击 作用 阶段 


在 攻击 发 起 阶段 确定 了 攻击 的 平台 和 利用 的 漏洞 后 ,攻击 就 进入 了 作用 阶段 。 在 此 阶 
段 中 ,攻击 者 要 选择 被 攻击 者 系统 的 某 些 资源 作为 攻击 对 象 ,以 达到 获得 某 些 “ 利 益 ” 的 目 
标 , 本 书 称 为 “作用 点 ”。 

人 们 平常 所 讲 的 缓冲 区 溢出 攻击 、ARP 欺骗 ,木马 .DoS/DDoS 病毒 .蠕虫 .信息 窃取 、 
信息 伪造 会话 动 持 \ 口 令 猜测 等 攻击 方式 ,只 是 说 明了 攻击 的 主要 特点 ,而 没有 指出 攻击 的 
真正 作用 点 。 从 攻击 的 角度 来 看 ,一 般 情况 下 攻击 者 进入 系统 后 ,可 以 根据 攻击 策略 进一步 
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采取 以 下 攻击 方式 : 在 现 有 作用 点 的 基础 上 ,寻找 其 他 薄弱 的 点 进行 攻击 ,进一步 体现 攻击 
的 有 效 性 ; 在 攻击 有 效 的 前 提 下 ,寻找 其 他 关键 的 点 进行 攻击 ,体现 攻击 后 果 的 严重 性 ; 寻 
找 其 他 可 以 入 侵 的 作用 点 ,实现 攻击 作用 点 的 多 样 化 。 

攻击 的 作用 点 在 很 大 程度 上 体现 了 攻击 者 的 目的 , 且 一 次 攻击 可 以 有 多 个 作用 点 , 即 可 
同时 攻击 系统 的 多 个 “目标 ”。 因 此 ,作用 点 的 选择 对 攻击 有 直接 的 影响 ,为 此 ,本 书 将 作用 
点 作为 攻击 作用 阶段 的 主要 影响 因素 。 作 用 点 的 判定 原则 如 下 。 

(1) 账户 : 包括 系统 账户 ,用户 账 户 等 。 一 般 指 攻击 者 对 账户 的 猜测 和 字典 攻击 及 强 
力 破 解 等 ,以 便 达 到 其 非法 进入 的 目的 。 另 外 ,还 包括 安装 木马 后 所 创建 的 后 门 账 户 等 。 

(2) 文件 系统 : 指 被 攻击 系统 的 文件 系统 。 它 涉及 的 攻击 主要 是 修改 、 删 除 、 增 加 、 获 
取 文 件 等 操作 。 

(3) 进程 : 指 被 攻击 系统 内 存 空 间 中 运行 的 进程 。 它 包括 操作 系统 进程 及 应 用 进程 ， 
涉及 的 攻击 如 杀 死 特定 进程 .探测 进程 活动 ,利用 该 进程 对 其 他 部 分 进行 攻击 等 。 

(4) 系统 资源 与 信息 : 指 被 攻击 者 系统 的 硬件 资源 (如 CPU 内存、 硬盘 等 ) 固定 信息 
或 相对 固定 的 信息 ,如 涉及 系统 的 硬件 资源 的 参数 (CPU 数量 内存 类 型 及 大 小 .Cache 容 
量 、 硬 盘 类 型 等 )、 系 统 的 配置 参数 (分 区 类 型 .注册 表 信 息 、 硬 盘 及 文件 访问 的 参数 等 ) 及 软 
件 信息 (如 系统 安装 的 软件 列表 .运行 要 求 等 )。 需 要 说 明 的 是 ,这 里 所 指 的 系统 信息 与 前 面 
介绍 的 进程 .文件 系统 的 信息 是 有 区 别 的 ,具体 为 : 系统 信息 一 般 是 固定 不 变 或 相对 固定 不 
变 的 ,在 每 次 系统 初始 化 时 是 基本 固定 ,而 文件 系统 与 进程 中 的 信息 在 其 生命 周期 中 是 动态 
变化 的 。 系 统 信息 一 般 都 是 通过 系统 进程 来 访问 固定 的 区 域 , 如 特定 的 环境 变量 区 .内存 和 
硬盘 的 固定 区 域 等 。 而 进程 和 文件 系统 的 实际 物理 位 置 随 着 加 载 时 间 的 不 同 是 动态 变 
化 的 。 

(5) 网 络 及 网 络 服务 : 针对 网 络 或 网 络 服务 的 攻击 。 它 主要 包括 占用 或 利用 网 络 资源 
与 服务 、 影 响 网 络 性 能 和 网 络 服 务 质 量 .增加 网 络 流量 .探测 网 络 及 相关 服务 的 信息 、 利 用 网 
络 提 供 的 功能 完成 其 他 非法 操作 等 , 即 对 网 络 本 身 及 服务 的 正常 运行 产生 不 利 影响 。 


1.5.3 攻击 结果 阶段 


攻击 结果 就 是 攻击 对 目标 系统 所 造成 的 后 果 ,也 是 被 攻击 者 所 能 感受 到 的 攻击 带 来 的 
影响 。 

1. 攻击 结果 的 具体 表现 

一 般 来 说 ,只 要 了 解 了 以 下 3 个 方面 的 情况 ,人 们 对 于 一 种 攻击 所 能 带 来 的 后 果 就 可 以 
有 比较 清晰 的 认识 。 

(1) 攻击 对 目标 系统 的 正常 运行 造成 了 哪些 方面 的 影响 。 即 攻击 者 对 目标 系统 的 软 、 
硬件 资源 、 其 中 的 信息 及 所 提供 的 服务 造成 了 哪些 影响 ,如 非法 收集 、 破 坏 、 恶 意 占 用 非法 
使 用 等 。 

(2) 攻击 是 否 具备 传播 性 。 攻 击 是 否 会 利用 当前 系统 作为 跳板 继续 对 其 他 目标 发 起 新 
的 攻击 。 

(3) 攻击 对 目标 系统 各 部 分 的 影响 程度 。 攻 击 对 系统 各 部 分 可 能 造成 的 损害 大 概 在 什 
么 水 平 。 

为 此 ,本 书 将 上 述 3 个 方面 作为 攻击 结果 阶段 的 3 个 影响 因素 ,分 别称 为 攻击 结果 、 传 
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播 性 和 破坏 强度 。 

2. 攻击 结果 

一 个 应 用 系统 自身 的 价值 主要 体现 在 其 所 拥有 的 硬件 资源 .信息 资源 ( 含 软件 ) 及 对 外 
提供 的 服务 上 ,那么 网 络 攻 击 的 实质 也 就 表现 在 对 目标 系统 的 硬件 资源 .信息 和 服务 的 非法 
访问 、 使 用 、 破 坏 等 。 因 此 ,互联 网 上 存在 的 各 类 攻击 ,虽然 其 实现 方式 和 表现 形式 可 能 各 不 
相同 ,但 是 最 终 反映 出 的 结果 却 是 有 限 的 几 种 。 

(1) 攻击 结果 类 型 。 下 面 从 网 络 攻 击 对 硬件 资源 、 信 息 资 源 和 服务 产生 的 非法 操作 等 
方面 ,来 划分 不 同 的 攻击 结果 。 

@ 对 硬件 资源 的 攻击 。 对 目标 系统 硬件 资源 的 攻击 可 以 表现 为 对 硬件 资源 的 非法 操 
作 , 如 消耗 网 络 带宽 .占用 存储 资源 、 破 坏 系统 的 关键 部 件 ( 如 CMOS) 等 。 但 是 硬件 资源 只 
是 信息 和 服务 的 载体 ,如 果 没 有 承载 对 象 , 硬 件 资源 也 就 没有 相应 的 价值 。 网 络 用 户 关心 的 
是 提供 的 信息 和 服务 ,而 不 关心 这 些 信息 和 服务 是 通过 什么 硬件 来 实现 的 ,但 硬件 是 支撑 信 
息 和 服务 的 基础 ,所 以 从 网 络 攻击 的 角度 来 说 ,对 硬件 系统 的 攻击 等 同 于 对 硬件 上 承载 的 信 
息 和 服务 的 攻击 。 例 如 ,从 用 户 的 角度 来 看 ,一 个 攻击 对 网 络 带宽 的 恶意 利用 可 以 反映 在 服 
务 的 正常 使 用 受到 限制 ,对 硬盘 的 占用 可 以 看 作 是 算 改 信息 ,CIH 病毒 对 CMOS 的 修改 可 
以 等 同 于 服务 的 中 断 等 。 

@ 对 信息 资源 的 攻击 。 对 目标 系统 信息 资源 发 起 的 攻击 可 以 表现 为 非法 获取 和 破坏 
两 个 方面 。 其 中 ,获取 信息 就 是 收集 、 读 取 目 标 系 统 中 攻击 者 感 兴趣 的 资料 。 破 坏 信息 就 是 
恶意 算 改 、 删 除 目标 系统 中 的 各 种 资料 ,以 达到 攻击 的 目的 。 

@ 对 服务 的 攻击 。 对 目标 系统 上 运行 的 服务 发 起 攻击 可 以 表现 为 对 系统 中 运行 的 各 
种 服务 进行 非法 的 使 用 和 破坏 。 

(2) 网 络 攻击 的 判定 原则 。 下 面 从 攻击 对 资源 导致 的 结果 出 发 , 避 开 各 类 攻击 技术 的 
实现 细节 ,将 网 络 攻击 结果 的 判定 原则 分 为 如 下 几 类 。 

中 泄露 信息 。 攻 击 造成 被 攻击 者 的 操作 系统 .应 用 系统 及 用 户 的 相关 信息 的 泄露 。 例 
如 ,攻击 发 起 之 前 对 目标 的 扫描 (很 多 安全 防范 系统 都 将 扫描 也 作为 一 种 攻击 ) 会 造成 信息 
的 泄露 ,攻击 进入 后 将 用 户 信息 对 外 进行 发 送 ,监听 网 络 上 的 流量 等 都 属于 此 类 。 

@ 算 改 信息 。 攻 击 者 对 目标 系统 的 内 存 、 硬 盘 、 其 他 部 分 的 信息 进行 非法 增 、 删 \ 改 的 
操作 。 例 如 , 植 人 木马 的 操作 会 导致 系统 配置 信息 的 更 改 和 硬盘 文件 的 增加 ,文件 类 病毒 的 
侵入 会 导致 相应 文件 的 修改 等 。 

@ 非法 利用 服务 。 利 用 系统 的 正常 功能 ,来 实现 攻击 者 的 其 他 目的 的 行为 。 例 如 , 利 
用 被 攻击 者 的 正常 网 络 连接 对 其 他 系统 进行 攻击 ,通过 正常 的 系统 服务 利用 其 他 漏洞 实现 
攻击 者 目的 等 。 

@ 拒绝 服务 。 使 目标 系统 正常 的 服务 受到 影响 或 系统 功能 的 部 分 或 全 部 丧失 。 例 如 ， 
典型 的 DoS/DDoS 攻击 ; 杀 死 系统 进程 使 其 对 外 的 服务 中 断 ; 耗 尽 系统 资源 中 内 存 使 系统 
崩溃 等 。 

@ 非法 提升 权限 。 攻 击 者 利用 某 种 手段 或 者 利用 系统 的 漏洞 ,获得 本 不 应 具有 的 权 
限 。 最 为 典型 的 非法 提升 权限 攻击 为 缓冲 区 溢出 攻击 。 另 外 ,通过 猜测 口令 、 植 人 木马 、 预 
留 后 门 等 ,也 可 以 使 攻击 者 获得 本 不 应 具有 的 权限 。 一 般 来 说 ,权限 提升 仅 是 一 种 手段 ,后 
续 往 往 伴随 着 对 目标 系统 信息 资源 和 服务 的 非法 操作 。 
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3. 传播 性 

Internet 的 出 现 导 致 了 网 络 攻击 的 产生 ,移动 互联 网 的 应 用 催生 了 大 量 新 的 攻击 方式 ， 
目前 的 网 络 攻击 在 传播 方面 呈现 出 越 来 越 明 显 的 主动 性 .快速 性 .智能 化 等 特点 。 毫 无 疑 
问 ,传播 性 越 强 的 攻击 ,其 攻击 面 越 广 .影响 力 越 强 、 破 坏 力 越 大 。 而 且 随 着 连接 到 Internet 
上 的 主机 越 来 越 多 ,尤其 是 物 联 网 技术 的 应 用 .工业 控制 系统 的 接 入 等 ,这 类 攻击 的 影响 力 
已 经 从 局 部 扩大 到 国家 ,甚至 到 整个 互联 网 。 不 仅 对 被 攻击 目标 造成 了 严重 的 灾难 ,而 且 因 
为 其 具有 传播 性 强 的 特点 ,对 网 络 本 身 的 运行 也 造成 了 严重 的 影响 。 先 后 出 现 的 CodeRed、 
Nimda、SQL Slammer、“ 永 恒 之 蓝 ” 等 蠕虫 对 全 球 互联 网 造成 了 严重 的 灾难 。 

因此 ,从 分 析 、 判 断 、 防 御 攻 击 的 角度 上 讲 ,传播 性 是 攻击 的 一 个 非常 重要 的 特征 。 特 别 
是 从 国家 角度 来 讲 , 正 确 地 了 解 一 个 攻击 的 传播 性 特点 对 于 及 时 采取 措施 ,防范 可 能 出 现 的 
大 规模 网 络 攻击 来 说 是 一 个 必要 的 前 提 。 对 于 局 域 网 用 户 而 言 ,及 时 了 解 到 攻击 的 传播 性 
特点 对 于 判断 攻击 在 局 域 网 内 的 扩散 趋势 ,进而 决定 采取 何 种 防范 措施 也 是 很 有 帮助 的 。 
因此 ,本 书 将 攻击 的 传播 性 作为 一 个 重要 影响 因素 。 

通过 对 大 量 实例 进行 分 析 可 以 看 出 ,众多 网 络 攻击 的 传播 性 有 着 鲜明 的 特点 。 一 般 来 
说 ,早期 出 现 的 攻击 基本 上 都 不 具备 传播 能 力 , 或 者 具备 较 弱 的 传播 能 力 , 且 受 一 些 条 件 限 
制 。 而 后 期 出 现 的 攻击 则 在 传播 性 方面 得 到 了 很 大 的 加 强 , 其 传播 是 主动 发 起 行为 而 不 是 
被 动 的 激活 行为 。 传 播 性 的 判定 原则 如 下 。 

(1) 传播 性 弱 。 特 点 是 “有 条 件 激活 ,有 条 件 传播 ? 式 , 即 需要 其 他 条 件 进 行 激活 ,同时 
传播 也 不 能 在 现 有 条 件 下 立刻 完成 ,需要 借助 其 他 手段 进行 。 例 如 ,传统 的 病毒 是 最 为 典型 
的 代表 。 另 外 ,还 有 一 种 称 为 “无 传播 性 ”的 攻击 , 它 是 一 对 一 发 起 的 攻击 ,传播 不 是 其 攻击 
的 目的 ,不 会 借 被 攻击 者 对 其 他 第 三 方 发 起 新 的 攻击 。 

(2) 传播 性 中 。 特 点 是 “有 条 件 激活 ,无条件 传播 ? 式 , 即 需要 其 他 条 件 进 行 激活 ,一旦 
激活 后 即 可 在 现 有 条 件 上 立刻 完成 传播 ,不 再 需要 其 他 辅助 条 件 。 例 如 ,通过 电子 邮件 系统 
进行 传播 的 蠕虫 ,一 般 来 说 ,需要 由 用 户 打 开 相 应 的 邮件 后 ,才能 主动 地 通过 搜索 电子 邮件 
地 址 表 进 行 传播 。 这 类 攻击 一 般 都 是 通过 网 络 实施 的 。 

(3) 传播 性 强 。 能 够 不 依赖 于 其 他 条 件 自主 对 外 搜索 攻击 目标 并 进行 有 效 攻击 ,同时 
该 传播 性 可 以 自主 地 继续 进行 下 去 ,无 限 传播 。 其 特点 是 “无 条 件 激活 ,无 条 件 传播 ”, 其 典 
型 代表 为 网 络 蠕虫 。 例 如 ,CodeRed 开 蠕 虫 就 是 利用 计算 机 的 漏洞 主动 地 对 外 寻找 下 一 个 
受害 者 进行 攻击 ,从 而 使 得 攻击 在 用 户 毫 不 知情 的 情况 下 进行 大 规模 扩散 。 

4. 破坏 强度 

无 论 从 分 析 、 评 估 、 防 范 哪个 角度 来 看 ,正确 了 解 网 络 攻击 所 造成 的 破坏 程度 都 是 非常 
有 意义 的 。 特 别 是 对 于 最 终 用 户 来 说 ,迫切 需要 知道 如 果 一 种 攻击 成 功 实施 ,会 对 系统 造成 
什么 样 的 伤害 。 

如 果 要 较为 准确 ,全面 地 描述 一 种 攻击 所 可 能 造成 的 破坏 ,必须 满足 以 下 条 件 : 破坏 强 
度 的 等 级 ( 强 、 中 、 弱 ) 定 义 必须 明确 ,根据 定义 ,不 同人 对 相同 的 攻击 能 够 得 出 相同 或 相似 的 
判断 结果 ; 定位 性 强 ,通过 描述 ,人 们 可 以 自行 判断 一 种 攻击 实际 上 针对 哪些 位 置 进行 的 ; 
能 够 适应 复杂 攻击 情况 .新 型 的 攻击 往往 包含 多 种 攻击 手法 ,其 攻击 目标 也 不 止 一 个 ,因此 
对 攻击 强度 的 描述 需要 同时 反映 出 对 多 个 目标 的 攻击 情况 ; 可 扩展 性 强 , 该 方案 可 以 通过 
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简单 扩充 来 满足 新 出 现 攻 击 的 特点 ,而 不 会 造成 结构 上 的 重大 调整 。 

基于 以 上 分 析 给 出 对 攻击 强度 的 描述 方法 , 即 在 攻击 作用 阶段 所 给 出 的 作用 点 的 基础 
上 ,分 析 攻 击 对 每 个 作用 点 可 能 的 破坏 程度 (本 书 所 指 的 攻击 结果 ,是 指 攻击 成 功 实施 后 的 
结果 )。 给 出 具体 的 划分 准则 ,具体 描述 如 下 。 

(1) 账户 。 账 户主 要 指 系统 账户 或 用 户 账户 ,一 旦 某 种 攻击 取得 了 某 个 账户 的 使 用 权 ， 
则 意味 着 从 此 以 后 ,攻击 者 就 相当 于 系统 的 合法 用 户 ,其 行为 仅 受 所 取得 用 户 权 限 的 约束 而 
且 很 难 被 发 现 。 其 破坏 力 及 对 系统 的 影响 程度 都 是 非常 大 的 。 同 样 对 于 木马 植 入 后 留 下 的 
秘密 账户 ,也 相当 于 系统 的 合法 用 户 身 份 。 为 此 ,将 所 有 针对 账户 发 起 的 攻击 的 破坏 强度 都 
定义 为 * 强 ”。 

(2) 文件 系统 。 对 于 文件 系统 的 攻击 一 般 有 修改 、 删 除 、 增 加 、 获 取 文 件 的 操作 ,也 可 以 
将 其 归纳 为 “ 读 ” 和 “ 写 ” 两 类 操作 。 对 文件 系统 进行 “ 写 ” 操 作 , 如 修改 、 删 除 、 增 加 文件 等 ,或 
者 对 需要 保密 的 信息 进行 解密 的 ,都 有 可 能 造成 不 可 恢复 性 的 破坏 。 将 这 些 攻 击 行为 都 定 
义 为 “ 强 ”"。 另 外 ,对 文件 系统 进行 “ 读 " 操 作 , 如 查询 ,访问 文件 等 ,一 般 来 说 会 造成 系统 信息 
的 外 泄 ,虽然 也 很 严重 ,但 与 写 操作 相 比 ,其 影响 尚 没有 达到 不 可 恢复 的 程度 ,因此 将 其 攻击 
强度 定义 为 “中 ”。 

(3) 进程 。 针 对 进程 的 攻击 也 分 为 两 种 类 型 : 一 类 是 以 破坏 进程 运行 为 目的 操作 ,如 
杀 死 进程 ,修改 进程 资料 ,修改 进程 执行 顺序 (如 执行 攻击 者 代码 ) 等 ,其 造成 的 损失 往往 是 
不 可 恢复 性 的 ,因此 属于 一 种 破坏 性 * 强 ”的 攻击 ; 另 一 类 是 以 侦察 ,获取 进程 信息 为 目的 操 
作 ,或 者 执行 系统 自身 所 有 的 特定 代码 ,所 造成 的 损失 尚 没有 达到 不 可 恢复 的 程度 ,因此 属 
于 “中 ”等 强度 的 攻击 行为 。 

(4) 系统 资源 与 信息 。 对 于 系统 资源 与 信息 的 攻击 主要 是 通过 固定 的 系统 进程 对 特定 
区 域 的 信息 进行 的 读 、 写 操作 。 对 系统 资源 的 攻击 主要 是 对 系统 资源 的 消耗 ,占有 等 操作 。 
针对 系统 资源 与 信息 的 攻击 ,其 强度 也 分 为 “ 强 ”" 和 “中 ”两 类 。 其 中 ,凡是 对 系统 信息 进行 写 
操作 的 攻击 及 对 系统 资源 进行 占有 、 消 耗 为 目的 的 攻击 ,其 破坏 性 都 比较 “ 强 ”; 凡是 对 系统 
信息 进行 读 操作 的 攻击 ,其 破坏 性 属于 “中 ?等 强度 。 需 要 说 明 的 是 ,考虑 到 系统 性 资源 与 信 
息 对 于 信息 系统 非常 重要 ,对 其 进行 的 非法 授权 操作 即使 是 读 操作 都 可 能 引起 较为 严重 的 
问题 ,因此 对 系统 信息 的 破坏 强度 目前 没有 * 弱 ”这 一 等 级 。 

(5) 网 络 及 网 络 服务 。 针 对 网 络 及 网 络 服务 的 攻击 ,根据 其 破坏 强度 可 以 分 为 3 类 : 对 
于 自动 的 .不 间断 的 ( 指 无 干预 情况 下 ) 、 攻 击 范围 不 针对 某 一 固定 区 域 的 .通过 网 络 传播 而 
实施 的 攻击 ,一般 利用 网 络 对 其 他 节点 发 起 大 量 的 攻击 ,造成 网 络 资源 的 大 量 占用 甚至 耗 
尽 , 使 得 网 络 无 法 正常 提供 服务 ,属于 一 种 高 “强度 的 攻击 。 另 外 ,虽然 不 通过 网 络 进行 攻 
击 传播 ,但 可 能 使 网 络 的 正常 服务 中 断 , 也 属于 一 种 高 “强度 攻击 ; 对 于 非 自动 的 ` 有 条件 
的 、 攻 击 范围 局 限于 某 一 区 域 ( 如 一 个 局 域 网 ) 的 ,通过 网 络 传播 而 实施 的 攻击 ,一 般 会 造成 
局 部 网 络 的 功能 部 分 或 全 部 失效 ,属于 “中 ”等 破坏 性 的 攻击 。 此 外 ,有 些 攻击 会 影响 到 正常 
的 网 络 服务 或 关键 的 网 络 节点 ,但 还 没有 使 网 络 服务 完全 无 法 进行 ,其 攻击 也 属于 “中 ”等 破 
坏 性 的 攻击 ; 对 于 影响 范围 只 局 限于 被 攻击 者 本 身 ,或 者 对 被 攻击 者 的 网 络 服务 影响 轻微 
的 (如 扫描 ) 攻 击 , 属 于 破坏 性 较 “ 弱 ”的 攻击 行为 。 
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1.6 网 络 攻防 的 发 展 趋势 


在 互联 网 环境 中 ,网 络 攻击 与 防御 是 一 个 长 期 存在 且 不 断 发 展 变化 的 正义 与 邪恶 . 矛 与 
慎之 间 的 较量 。 结 合 互联 网 技术 的 发 展 ,尤其 是 各 类 新 技术 的 应 用 ,本 节 对 网 络 攻防 发 展 趋 
势 进行 必要 的 分 析 。 


1.6.1 新 应 用 产生 新 攻击 


应 用 需要 建立 在 硬件 资源 、 信 息 资源 和 服务 上 ,而 这 些 资源 和 服务 都 存在 被 攻击 的 可 
能 。 在 网 络 空间 中 ,一 个 新 时 代 的 到 来 需要 一 批 新 技术 的 推动 ,而 新 技术 的 应 用 必然 导致 新 
攻击 的 产生 。 应 用 与 攻击 之 间 互 为 条 件 , 相 伴 而 生 。 

1. 云 计算 及 面临 的 攻击 威胁 

在 网 络 应 用 越 来 越 普及 的 情况 下 ,人 们 希望 实现 像 用 水 、 用 电 一 样 使 用 网 络 资源 ,于 是 
就 产生 了 云 计算 (Cloud Computing) 这 一 技术 和 运营 模式 。 公 有 云 .私有 云 和 混合 云 在 全 球 
各 地 广泛 应 用 ,向 用 户 提供 IaaS (Infrastructure as a Service, 基础 设施 即 服务 )、PaaS 
(Platform as a Service, 平 台 即 服务 ) 和 SaaS(Software as a Service, 软件 即 服务 )。 普 通用 
户 不 再 需要 自己 构建 信息 基础 设施 和 应 用 平台 ,只 需要 向 云 服 务 提供 者 租用 就 可 以 获得 计 
算 、 存 储 等 资源 。 

虚拟 化 技术 是 云 计算 的 基础 。 虚 拟 化 应 用 主要 包括 服务 器 虚拟 化 、 存 储 虚拟 化 和 网 络 
pi tet rhe sate od po epi eer ttl eit lig 
理 的 分 配 和 更 高 效率 的 使 用 ,并 减少 空置 率 和 电能 消耗 。 虚 拟 化 技术 在 云 计算 领域 已 经 
到 了 广泛 应 用 。 

然而 ,在 云 计 算 的 推广 应 用 中 ,存在 的 一 个 重要 障碍 就 是 对 安全 问题 的 担心 。 当 数据 从 
硬盘 .光盘 移动 存储 这 些 可 以 看 得 见 的 介质 转移 到 看 不 见 的 云 空间 时 ,人 们 担心 数据 放 在 
云 里 不 安全 ,普遍 认为 数据 在 云端 被 泄密 的 风险 要 比 本 地 存储 大 得 多 。 同 时 ,还 担心 数据 的 
安全 性 和 服务 的 可 用 性 得 不 到 保障 。 

2. 移动 互联 网 面临 的 攻击 威胁 

从 个 人 计算 机 诞生 到 计算 机 网 络 的 应 用 ,从 传统 以 固定 接 入 为 主 的 互联 网 到 现在 以 固 
定 和 移动 智能 终端 接 入 方式 并 存 的 移动 互联 网 应 用 ,从 早期 的 人 机 对 话 到 今天 的 以 机 器 对 
机 器 (Machine to Machine)、 人 对 机 器 (Man to Machine) 、 机 器 对 人 (Machine to Man) ,移动 
网 络 对 机 器 (Mobile to Machine) 为 代表 的 M2M 通信 ,通过 互联 网 实现 了 人 、 机 器 、 系 统 之 
间 的 互联 。 

近年 来 ,移动 技术 得 到 了 快速 发 展 ,3G/4G 技术 快速 演进 ,有 线 、 无 线 网 络 覆盖 越 来 越 
广 ,Wi-Fi 应 用 随 着 智慧 城市 .智慧 校园 的 建设 得 到 广泛 部 署 .智能 手机 应 用 得 到 普及 。 有 
了 无 处 不 在 的 移动 网 络 ,以 及 功能 类 似 于 传统 计算 机 的 智能 手机 ,使 得 移动 通信 应 用 不 再 受 
传统 固 网 通信 的 约束 ,各 种 移动 应 用 层出不穷 。 

从 个 人 计算 机 时 代 到 网 络 时 代 , 青 到 移动 互联 网 时 代 , 人 们 经 历 了 技术 的 快速 跨越 和 应 
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用 的 不 断 更 适 , 人 们 获取 和 交换 信息 的 速度 .广度 和 便捷 性 都 得 到 了 质 的 提升 。 然 而 ,伴随 
着 各 类 新 应 用 的 快速 发 展 , 针 对 移动 智能 终端 的 安全 攻击 也 越 来 越 多 ,这 类 攻击 已 经 突破 了 
时 间 和 空间 的 限制 ,在 任何 时 间 、 任 何 地 点 和 任何 应 用 上 ,都 有 可 能 发 生 。 例 如 , 当 智 能 手机 
用 于 存放 数据 时 安全 问题 如 何 解决 , 当 通 过 智能 手机 进行 GPS(Global Positioning System， 
全 球 定位 系统 ) 导 航 时 个 人 隐私 如 何 得 到 保护 。 诸 如 此 类 的 问题 ,在 移动 互联 网 环境 中 需要 
提出 解决 的 方法 。 

3. 大 数据 应 用 面临 的 攻击 威胁 

移动 互联 网 、 物 联网 、 云 计算 等 技术 的 广泛 应 用 催生 了 大 数据 时 代 的 到 来 。 在 今天 的 信 
息 环境 中 ,每 个 人 都 成 为 了 信息 的 制造 者 和 发 布 者 ,网 络 上 存储 和 实时 传输 着 文本 、 图 像 . 视 

\ 音 频 等 不 同 格式 的 数据 。 大 数据 成 为 近 几 年 讨论 的 热点 话题 ,如 何 从 海量 的 数据 里 挖掘 

出 有 价值 的 信息 ,也 是 人 们 在 不 断 研究 的 新 技术 。 在 大 数据 应 用 过 程 中 出 现 了 “数据 大 集 
中 ”现象 , 即 为 了 便于 数据 管理 ,将 原来 相互 隔离 ,不同 应 用 ,不 同 格式 的 数据 整合 在 一 起 ,再 
通过 构建 应 用 模型 进行 大 数据 分 析 。 

然而 ,大 数据 及 其 相关 的 数据 挖掘 技术 ,也 带 来 了 安全 问题 。 例 如 ,在 大 数据 分 析 中 挖 
气 到 更 多 的 关联 信息 是 否 会 导致 隐私 泄露 ? 另外 ,数据 集中 了 ,风险 同样 也 集中 了 。 大 数据 
系统 一 旦 被 攻击 ,安全 问题 将 更 加 严重 。 

4. 网 络 空 间 面临 的 攻击 威胁 

网 络 空间 已 经 成 为 继 陆 , 海 、 空 .天 之 后 的 第 五 大 空间 ,网 络 空 间 安 全 已 经 上 升 到 国家 安 
全 的 层面 。 与 传统 的 空间 概念 相 比 ,网 络 空 间 超 越 了 国界 ,其 边界 更 加 模糊 。 网 络 空间 是 一 
个 虚拟 的 世界 ,人 的 身份 更 加 难以 确定 ,人 的 位 置 更 加 难以 定位 。 黑 客 ,网络 使 用 者 .信息 发 
布 者 、 信 息 阅 读者 、 网 络 警察 等 不 同 的 人 群 都 在 这 个 虚拟 的 网 络 空间 里 从 事 各 自 的 活动 ,这 
里 有 道德 ,信任 和 友善 ,也 有 虚假 ,造谣 和 攻击 。 

近年 来 频繁 发 生 的 各 类 网 络 攻 击 事件 告诉 人 们 ,网 络 空间 的 安全 不 可 小 凯 。 在 这 一 虚 
拟 的 世界 中 ,主导 权 掌 握 在 谁 的 手中 ,自主 \ 可 信 、 可 控 能 做 到 哪 一 步 ,如 何 有 效 地 对 网 络 空 
间 进 行 划 界 , 对 于 出 现 的 相关 攻击 如 何 进行 溯源 ,诸如 此 类 的 问题 ,需要 从 理论 和 实践 上 同 
时 找到 答案 ,只 有 这 样 才 能 更 好 地 保护 自己 的 网 络 空间 。 


1.6.2 网 络 攻击 的 演进 


图 1-11 显示 了 网 络 攻击 的 演进 过 程 和 趋势 ,整个 攻击 的 实施 可 以 分 为 查找 系统 漏洞 、 
确定 攻击 手法 、 展 开 攻击 行动 和 达到 攻击 目的 4 个 主要 过 程 。 

为 了 使 攻击 行为 更 加 有 效 , 网 络 攻击 总 是 在 技术 上 不 断 变化 。 网 络 攻击 者 在 不 同时 期 
不 同 环境 下 有 着 不 同 的 目的 ,早期 的 一 些 攻击 者 多 以 炫 汐 技术 为 主 , 后 来 发 展 到 以 谋取 经 济 
利益 为 主 , 而 现在 的 有 些 攻击 (如 震 网 ,火焰 等 病毒 ) 已 经 上 升 到 了 政治 或 国家 政权 的 层面 。 

如 图 1-12 所 示 ,早期 攻击 的 目的 主要 是 技术 炫 狼 和 恶作剧 ,通常 是 个 人 行为 。 而 现在 
攻击 的 主要 目的 则 是 以 获取 经 济 利益 或 政治 利益 为 目的 。 因 此 ,今天 的 攻击 行为 更 加 有 组 
织 ` 有 预谋 ` 有 目的 ,攻击 手法 越 来 越 复 杂 ,而 攻击 的 实施 却 越 来 越 简单 。 

从 技术 上 来 说 ,原来 的 攻击 行为 主要 是 利用 软件 漏洞 进行 的 自我 复制 和 传播 ,主要 是 破 
坏 计算 机 软 硬 件 和 数据 ; 现在 病毒 技术 虽 无 太 大 突破 ,但 0day 漏洞 不 断 增多 ,制作 病毒 的 
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难度 有 所 降低 。 


统 漏洞 
人 、 有 
有 软件 就 有 漏洞 | 、\、 生生 
缓冲 区 溢出 站 一” 人 展开 攻击 行动 有 损失 就 有 原因 
















































































SQL 注入 确定 攻击 手 滨 ) ”| 有 攻击 就 有 损失 2 
路 站 脚本 经 济 利益 
和 有 漏洞 就 可 能 被 利用 pe 政治 原因 
木马、 蠕虫 、 病毒 | 
后 ] | | 
DoSDDos 
图 1-11 网 络 攻击 的 演进 过 程 和 趋势 
早期 现在 
a 政治 目的 和 经 济 利益 为 主要 
目 | 技术 炫 窒 、 恶作剧 、 仇视 和 破坏 , | det 
的 | 通常 为 个 人 行为 三 儿 | 昌 的 ， 通 常 依托 互联 网 ,一 
股 为 集团 化 运作 
技 | 和 用 软件 安全 漏洞 ， 自 我 复制 和 网 页 挂 马 、 蠕 虫 利用 漏洞 大 
术 | 传播 ， 破 坏 计 算 机 软 硬 件 和 数据 ， FE fg 0day 漏 油 
影响 计算 机 正常 运行 威胁 较 大 
可 主要 攻击 各 种 最 通用 和 最 流行 的 主要 以 网 页 文件 (网 页 挂 马 )、 
时 | 软件， 包括 操作 系统 、 办 公 软 件 [下 所 GOL 注入 )、 系 统 术 
体 | 和 一 些 系统 文件 等 应 用 软件 为 载体 
传 | 通过 磁盘 、 光 盘 等 介质 ， 或 者 电 制造 、 传 播 、 破 坏 的 流程 完 
播 | 子 邮件 、 网 络 共享 方式 传播 ; 当 | _JN 全 网 络 化 ， 攻 击 过 程 的 组 织 
途 | 一 台 计 算 机 感染 病毒 后 很 快 会 进 | 一/| 分 工 明确 ， 社 会 工程 学 、APT 
径 | 行 大 范围 传播 等 得 到 应 用 

















图 1-12 网络 攻 击 的 早期 和 现在 比较 


从 攻击 载体 上 看 ,以 前 主要 是 攻击 各 种 最 通用 和 最 流行 的 软件 ,包括 操作 系统 、 办 公 软 
件 及 一 些 系 统 文件 等 。 而 现在 除了 以 上 攻击 内 容 外 ,各 种 网 页 文件 数据库、 应 用 软件 等 也 
成 为 被 攻击 的 载体 。 

从 传播 途径 上 看 ,原来 主要 是 通过 磁盘 .光盘 .电子 邮件 、 网 络 共 享 等 方式 传播 。 现 在 生 
产 , 传 播 \ 破 坏 的 流程 完全 网 络 化 ,形成 了 黑色 产业 链 , 甚 至 是 利用 社会 工程 学 的 手段 来 
传播 。 


1.6.3 ”网 络 攻击 新 特点 


网 络 攻击 的 基础 是 对 安全 漏洞 的 利用 ,漏洞 的 发 现 需 要 一 个 过 程 ,尤其 对 使 用 广泛 且 使 
用 时 间 较 长 的 系统 来 说 发 现 的 漏洞 数量 会 逐渐 减少 ,而 一 个 新 系统 和 新 应 用 的 出 现 , 漏 洞 被 
发 现 和 利用 的 可 能 性 则 会 增 大 。 从 整体 上 看 ,网 络 攻击 的 发 展 趋势 和 特点 主要 体现 在 以 下 
几 个 方面 。 

1. 形成 黑色 产业 链 

受 经 济 利益 的 驱使 ,目前 实施 网 络 攻击 行为 的 各 个 环节 已 经 连接 成 为 一 个 链条 ,形成 了 
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一 个 完整 的 产业 链 , 即 黑色 产业 链 。 例 如 ,针对 个 人 网 上 银行 的 攻击 ,其 中 有 制作 木马 软件 
的 ,有 负责 植 人 木马 的 ,有 负责 转账 和 异地 取现 的 ,等 等 。 这 就 使 得 攻击 行为 由 一 种 个 人 行 
为 上 升 到 "组 织 ” 行 为 。 网 络 犯罪 组 织 化 、 规 模 化 公开 化 ,形成 了 一 个 非常 完善 的 流水 线 作 
业 程 序 , 这 就 使 得 攻击 能 力 大 大 加 强 。 

2. 针对 移动 终端 的 攻击 大 大 增加 

随 着 移动 互联 网 的 应 用 ,各 类 移动 智能 终端 (智能 手机 、 笔 记 本 电脑 .PAD 等 ) 成 为 互联 
网 接 入 的 重要 组 成 部 分 。 从 本 质 上 来 说 ,一 个 移动 终端 就 是 一 台 计算 机 。 以 前 在 计算 机 上 
能 够 进行 的 操作 ,现在 在 智能 手机 等 终端 上 基本 都 能 实现 。 

近年 来 ,移动 智能 终端 快速 得 到 普及 ,已 经 形成 了 一 个 巨大 的 用 户 群体 。 为 了 满足 移动 
用 户 的 需求 ,在 各 类 移动 智能 终端 功能 不 断 丰 富 的 同时 ,为 用 户 提供 软件 下 载 的 各 类 应 用 平 
台 也 应 运 而 生 。 由 于 管理 上 存在 的 问题 ,这 些 应 用 平台 已 经 成 为 攻击 者 的 男 一 个 目标 。 

3. APT 攻击 越 来 越 多 

APT( 高 级 持续 威胁 ) 是 近 几 年 来 出 现 的 一 种 新 型 攻击 。APT 是 黑客 以 窃取 核心 资料 
为 目的 ,针对 客户 所 发 动 的 网 络 攻击 和 侵袭 行为 ,是 一 种 蓄 谋 已 久 的 “恶意 商业 间谍 威胁 ”。 
不 同 于 以 往 传 统 的 病毒 ,APT 攻击 者 掌握 高 级 漏洞 和 超 强 的 网 络 攻击 技术 。APT 攻击 的 
原理 相对 于 其 他 攻击 形式 更 为 复杂 和 先进 ,这 主要 体现 在 APT 在 发 动 攻击 之 前 需要 对 攻 
击 对 象 的 业务 流程 和 目标 系统 进行 精确 的 信息 收集 ,并 挖掘 被 攻击 对 象 和 应 用 程序 的 漏洞 ， 
在 这 些 漏 洞 的 基础 上 形成 攻击 者 所 需 的 工具 。APT 的 这 种 攻击 没有 采取 任何 可 能 触发 警 
报 或 者 引起 怀疑 的 行动 ,因此 更 易于 融入 被 攻击 者 的 系统 或 程序 。 

4. 攻击 工具 越 来 越 复 杂 

攻击 工具 开发 者 正在 利用 更 先进 的 技术 来 开发 攻击 工具 。 与 以 前 的 攻击 工具 相 比 , 现 
在 攻击 者 使 用 的 攻击 工具 的 特征 更 难 发 现 , 攻 击 手法 更 加 隐蔽 ,更 难 利用 特征 进行 检测 。 

为 防止 被 攻击 者 发 现 , 攻 击 者 会 采用 一 定 的 技术 隐藏 攻击 工具 ,这 为 防御 攻击 及 分 析 攻 
击 工具 的 特征 提高 了 难度 。 与 早期 的 攻击 工具 不 同 , 现 在 的 攻击 工具 更 加 成 熟 , 攻 击 工具 可 
以 通过 自动 升级 或 自我 复制 等 方式 产生 新 的 工具 ,并 迅速 发 动 新 的 攻击 。 有 时 ,在 一 次 攻击 

会 出 现 多 种 不 同形 态 的 攻击 工具 。 此 外 ,攻击 工具 越 来 越 普遍 地 被 开发 为 可 在 多 种 操作 

系统 平台 上 执行 。 

5. 对 基础 设施 的 威胁 增 大 

基础 设施 攻击 会 导致 Internet 上 的 关键 服务 出 现 大 面积 破坏 直至 瘫痪 。 目 前 ,Internet 
已 经 成 为 人 们 生活 中 依赖 的 信息 交换 载体 ,基础 设施 一 旦 被 攻击 , 轻 则 引起 人 们 的 担心 , 重 
则 引起 能 源 、 交 通 、 公 共 服 务 等 瘫痪 。 目 前 ,基础 设施 面临 的 攻击 主要 有 DoS/DDoS 攻击 、 
蠕虫 域名 系统 (DNS) 攻 击 、 对 路 由 器 攻击 或 利用 路 由 器 的 攻击 等 。 

其 中 ,拒绝 服务 攻击 利用 多 个 系统 攻击 一 个 或 多 个 受害 系统 ,使 受 攻击 系统 拒绝 向 其 合 
法 用 户 提供 服务 。 由 于 Internet 是 由 有 限 而 可 消耗 的 资源 组 成 的 ,并 且 Internet 的 安全 性 
是 高 度 相互 依赖 的 ,因此 拒绝 服务 攻击 在 Internet 中 非常 有 效 。 蠕 虫 是 一 种 自我 繁殖 的 恶 
意 代码 ,蠕虫 可 以 利用 大 量 安全 漏洞 ,使 大 量 的 系统 在 很 短 时 间 内 受到 攻击 。 男 外 ,由 于 里 
虫 传播 时 生成 大 量 的 扫描 传输 流 , 其 传播 实际 上 是 对 Internet 进行 拒绝 服务 攻击 。 

另外 ,网 络 攻击 还 呈现 出 了 安全 漏洞 的 发 现 越 来 越 快 ,防火 墙 渗透 率 越 来 越 高 ,自动 化 
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和 攻击 速度 越 来 越 快 等 特点 。 
习 题 


.联系 近 阶 段 发 生 的 网 络 安全 事件 , 简 述 黑客 与 红 客 之 间 的 不 同 。 
. 简 述 网 络 攻击 的 主要 类 型 ,对 比 它们 之 间 的 不 同 。 

. 什么 是 网 络 攻击 的 属性 ? 介绍 权限 ,转换 方法 和 动作 3 种 攻击 类 型 的 特点 。 
. 结合 互联 网 应 用 , 简 述 网 络 攻击 的 主要 方法 。 

. 什么 是 彩虹 表 ? 简 述 其 实现 原理 和 过 程 。 

. 什么 是 漏洞 ? 分 析 常 见 漏洞 的 特点 及 危害 。 
.什么 是 缓冲 区 溢出 ? 简 述 其 实现 原理 和 攻击 过 程 。 

. 什么 是 电子 邮件 攻击 ? 简 述 其 实现 原理 和 过 程 。 

. 简 述 APT 的 概念 及 特点 ,对 其 主要 环节 进行 分 析 。 

10. 什么 是 社会 工程 学 ? 简 述 其 网 络 攻击 的 实现 方式 和 主要 步 又。 
11. 结合 具体 事例 ,介绍 网 络 攻击 的 实施 过 程 。 

12. 结合 当前 互联 网 安全 , 简 述 网 络 攻防 的 发 展 趋势 。 


CoN 人 w oi 


第 2 章 Windows 操作 系统 的 攻防 


Windows 在 桌面 操作 系统 中 占有 绝对 的 市 场 份额 ,在 服务 器 操作 系统 中 也 拥有 一 席 之 
地 。 然 而 ,微软 公司 长 期 以 来 在 强调 易 操作 性 和 界面 友好 性 的 同时 ,其 安全 性 一 直 被 业界 诉 
病 。 针 对 Windows 操作 系统 安全 漏洞 的 网 络 攻 击 频繁 发 生 , 且 有 愈演愈烈 的 趋势 。 由 于 
Windows 操作 系统 在 网 络 攻防 中 具有 的 重要 地 位 ,所 以 针对 Windows 操作 系统 各 类 安全 
漏洞 的 渗透 攻击 和 防御 技术 研究 已 成 为 当前 信息 安全 领域 关注 的 重点 之 一 。 本 章 从 
Windows 操作 系统 基本 结构 人 手 , 在 分 析 其 安全 体系 和 机 制 的 基础 上 ,对 相关 的 安全 攻防 
技术 进行 介绍 。 


2.1 Windows 操作 系统 的 安全 机 制 


自 1985 年 Windows 操作 系统 问世 以 来 ,其 版 本 随 着 计算 机 硬件 和 软件 发 展 不 断 升级 ， 
架构 从 16 位 、32 位 到 64 位 ,桌面 操作 系统 版 本 从 最 初 的 Windows 1.0 到 大 家 熟知 的 
Windows 95、Windows 98 直至 现在 的 Windows 10, 服 务 器 操作 系统 版 本 从 Windows NT 
3.1、Windows NT 4.0 直至 现在 的 Windows Server 2016 ,操作 系统 内 核 版 本 从 1. x、2. x 直 
至 Windows 10 和 Windows Server 2016 的 10. x, 其 功能 在 持续 更 新 过 程 中 不 断 完善 。 

需要 说 明 的 是 ,考虑 到 Windows 操作 系统 的 版 本 众多 , 且 不 同 版 本 之 间 的 功能 和 操作 
方式 的 差异 较 大 。 为 突出 重点 ,并 便于 读者 理解 和 开展 实验 操作 ,本 节 主 要 针对 Windows 
内 核 进 行 介 绍 。 所 涉及 的 操作 均 在 Windows 7 和 Windows Server 2012 环境 下 进行 。 


2.1.1 Windows 操作 系统 的 层次 结构 


微软 在 开发 Windows 服务 器 操作 系统 (Windows NT 3. 1) 之 初 , 便 将 其 定义 为 能 够 在 
用 户 级 实现 自主 访问 控制 .提供 审计 访问 对 象 机 制 的 C2 级 操作 系统 。 

1. 操作 系统 的 设计 类 型 

早期 的 一 些小 型 系统 (如 MS-DOS) 主 要 由 可 以 相互 调用 的 一 系列 过 程 组 成 。 这 种 操作 
系统 的 特点 是 功能 简单 ,实现 容易 。 但 其 缺点 是 当 修 改 一 个 过 程 时 可 能 导致 系统 其 他 部 分 

为 解决 过 程 调用 中 存在 的 问题 ,提出 了 层次 系统 模型 ,即将 系统 划分 为 模块 和 层 ,每 个 
模块 为 其 他 模块 (更 高 层 ) 提 供 一 系列 函数 及 调用 。 该 模型 的 设计 特点 是 将 一 个 大 型 复杂 的 
系统 分 解 成 若干 单 向 依赖 的 层次 (最 内 部 的 一 层 为 系统 核 ), 即 每 一 层 都 提供 一 组 功能 且 这 
些 功 能 只 依赖 该 层 以 内 的 各 层 ,比较 容易 修改 和 测试 ,同时 可 以 根据 需要 替换 掉 一 层 ,但 其 
缺点 是 限制 过 于 严格 。 

随 着 计算 机 联网 技术 的 发 展 和 需求 越 来 越 突出 ,客户 机 /服务 器 (Client/Server) 结 构成 
为 许多 操作 系统 设计 时 选择 的 基础 模型 。 在 该 结构 中 ,操作 系统 被 划分 为 一 个 或 多 个 进程 ， 
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每 个 进程 称 为 一 个 服务 器 , 它 提供 服务 ,如 内 存 管理 ,配置 管理 .对象 管理 等 。 可 以 执行 的 应 
用 称 为 客户 机 ,一 个 客户 机 通过 向 指定 的 服务 器 发 送 消息 来 请 求 服务 。 系 统 中 所 有 的 消息 
都 是 通过 微 内 核 (Micro Kernel) 发送 的 ,如 果 有 多 个 服务 器 存在 , 则 这 些 服务 器 共享 一 个 微 
内 核 。 客 户 机 和 服务 器 都 在 用 户 模 式 (User Mode) 下 执行 。 客 户 机 /服务 器 结构 的 特点 是 
当 一 个 服务 器 出 现 错误 或 重新 启动 时 ,不 会 影响 系统 的 其 他 部 分 。 

2. Windows 服务 器 操作 系统 的 结构 

Windows 服务 器 操作 系统 是 层次 结构 和 客户 机 /服务 器 结构 的 混合 体 ,其 系统 结构 如 

































































































































































图 2-1 所 示 。 
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图 2-1 Windows 服务 器 操作 系统 的 结构 


(1) 执行 者 。 执 行者 是 运行 在 内 核 模 式 (Kernel Mode) 中 的 部 分 , 它 由 3 层 组 成 。 其 
中 ,最 底层 是 硬件 抽象 层 , 它 为 其 上 层 提供 硬件 结构 的 接口 ,可 以 使 系统 运行 在 不 同 的 硬件 
上 ,方便 系统 的 移植 ; 微 内 核 位 于 硬件 抽象 层 之 上 . 它 为 低层 提供 执行 、 中 断 、 异 常 处 理 和 同 
步 的 支持 ; 最 高 层 由 一 系列 实现 基本 系统 服务 的 模块 组 成 ,这 些 模块 包括 虚拟 内 存 管理 、 对 
象 管理 ,进程 和 线程 管理 .1/O 管理 .进程 间 通信 和 安全 参考 监视 器 。 这 些 模块 之 间 的 通信 
是 通过 定义 在 每 个 模块 中 的 函数 实现 的 。 

(2) 被 保护 的 服务 。 被 保护 的 服务 也 称 为 被 保护 的 子 系统 或 服务 器 ,提供 了 应 用 程序 
编程 接口 (Application Programming Interface, APD) , 它 以 具有 一 定 特权 的 进程 形式 在 用 户 
模式 下 执行 。 当 一 个 应 用 调用 API 时 ,调用 者 通过 局 部 过 程 调用 (Local Procedure Call， 
LPC) 发 送 请 求 信息 给 对 应 的 服务 器 ,服务 器 在 接收 到 该 请 求 信息 后 发 送 消息 应 答 给 调用 
者 。 下 面 介 绍 一 些 标准 的 服务 。 

a 会 话 管理 。 会 话 管理 是 系统 启动 时 加 载 的 第 一 个 服务 , 它 负责 启动 DoS 设备 驱动 ， 
将 子 系统 在 注册 表 中 进行 注册 ,并 且 初 始 化 动态 链接 库 (Dynamic Link Library, DLL) ,然后 
启动 NT 注册 (WinLogon) 服 务 。 
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@ NT 注册 。NT 注册 负责 为 交互 式 注 册 和 注销 提供 接口 服务 , 它 是 一 个 注册 进程 ,在 
系统 初始 化 时 以 logon 进程 通过 Win32 注册 。 同 时 , 它 还 管理 操作 系统 的 桌面 。 

@ Win32。Win32 为 应 用 程序 提供 有 效 的 32 位 API, 同 时 提供 图 形 用 户 接口 并 且 控 制 
所 有 用 户 的 输入 和 输出 。 该 服务 只 输出 两 种 对 象 : WindowsStation( 如 用 户 的 鼠标 、 键 盘 和 
显示 器 的 输入 /输出 等 ) 和 桌面 对 象 。 

@ 本 地 安全 认证 。 本 地 安全 认证 主要 提供 安全 认证 服务 , 它 在 用 户 注册 进程 安全 事 
件 日 志 进程 等 本 地 系统 安全 策略 中 提供 重要 的 安全 服务 功能 。 安 全 策略 是 由 本 地 安全 策略 
库 实现 的 , 库 中 主要 保存 着 可 信 域 .用 户 和 用 户 组 的 特权 、 访 问 权限 和 安全 事件 。 这 个 数据 
库 由 本 地 安全 认证 来 管理 ,并 且 只 有 通过 本 地 安全 认证 后 才能 访问 。 

@ 安全 账户 管理 。 安 全 账户 管理 主要 用 于 管理 用 户 和 用 户 组 的 账户 ,根据 它 的 权限 决 
定 其 作用 是 在 本 地 域 还 是 其 他 域 范围 内 。 另 外 , 它 还 为 认证 服务 器 提供 支持 。 安 全 账户 作 
为 子 对 象 存储 在 注册 表 中 的 数据 库 中 ,这 个 数据 库 只 有 通过 安全 账户 才能 访问 和 管理 。 

(3) 微 内 核对 象 和 执行 者 对 象 。 在 Windows 服务 器 操作 系统 中 ,所 有 的 软件 和 硬件 资 
源 都 是 用 对 象 表示 的 ,如 文件 信号 量 、 计 时 器 线程、 进程 .内 存 等 。 具体 可 以 分 为 微 内 核对 
象 和 执行 者 对 象 两 种 类 型 。 

@ 微 内 核对 象 。 微 内 核对 象 也 称 为 内 核对 象 , 它 是 由 微 内 核 产 生 的 、 对 用 户 不 可 见 的 
最 基本 的 对 象 。 它 输出 给 执行 者 的 相关 应 用 ,提供 只 有 内 核 最 低层 才能 完成 的 基本 功能 。 
内 核对 象 分 为 派遣 对 象 和 控制 对 象 两 种 类 型 。 其 中 ,派遣 对 象 (dispatcher object) 用 于 控制 
调试 和 同步 , 它 有 一 个 信号 状态 ,可 以 允许 线程 挂 起 对 象 的 执行 ,直到 信号 状态 发 生 改 变 。 
派遣 对 象 主要 有 事件 (event)、 互 斥 体 (mutant) .事件 对 (eventPair) 、 信 和 号 量 (semaphore)、 
计时 器 (timer) ,线程 (thread) ,进程 (process) 等 ; 控制 对 象 (control object) 是 由 执行 者 和 设 
备 驱 动 控制 的 不 可 等 待 的 ,没有 信号 状态 的 对 象 ,主要 有 中 断 、 设 备 队 列 、 配 置 文件 
(profiles) ,异步 过 程 调用 (APC) 延迟 过 程 调用 (DPC) 。 

@ 执行 者 对 象 。 大 多 数 执行 者 对 象 用 于 封装 一 个 或 多 个 微 内 核对 象 , 它 在 用 户 模式 下 
是 可 见 的 。 执 行者 为 Win32 等 服务 提供 一 系列 的 对 象 ,通常 情况 下 ,服务 直接 为 客户 机 程 
序 提供 执行 者 对 象 。 另 外 ,服务 可 以 为 客户 机 提供 基于 一 个 或 多 个 简单 对 象 构造 一 个 新 的 
对 象 。 


2.1.2 Windows 服务 器 的 安全 模型 


安全 是 操作 系统 的 核心 ,Windows 操作 系统 将 安全 作为 系统 设计 和 功能 实现 的 基础 ， 
安全 模型 是 实现 各 类 安全 功能 的 基本 框架 。 图 2-2 所 示 为 Windows 服务 器 操作 系统 的 安 
全 模型 。 其 中 ,用 户 是 安全 的 关键 ,在 操作 系统 和 网 络 环境 中 针对 用 户 这 一 特定 对 象 的 是 用 
户 账户 ,因为 任何 一 个 用 户 只 要 访问 系统 就 必须 拥有 一 个 账户 ,所 以 针对 用 户 账户 的 管理 是 
实现 系统 安全 的 第 一 道 屏障 。 同 时 ,在 一 个 资源 访问 受 限 的 系统 中 ,并 不 是 每 一 个 账户 所 拥 
有 的 权限 都 是 相同 的 ,而 是 根据 访问 角色 的 不 同 分 别 分 配 不 同 的 权限 。 例 如 ,系统 管理 员 或 
拥有 同等 权限 的 用 户 账户 可 以 实现 对 整个 系统 的 操作 ,如 添加 设备 、 更 改 系 统 设置 .关闭 系 
统 中 运行 的 程序 等 。 而 普通 的 访问 者 则 可 能 只 具有 对 特定 资源 的 操作 权限 ,如 对 某 个 文件 
或 文件 夹 的 读 、 写 、 删 除 .修改 属性 等 。 在 Windows 服务 器 操作 系统 中 有 一 个 安全 账户 管理 
数据 库 , 其 中 存放 的 内 容 有 用 户 账户 和 该 账户 所 具有 的 权限 等 信息 。 
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图 2-2 Windows 服务 器 操作 系统 的 安全 模型 


在 Windows 服务 器 中 ,安全 模型 由 本 地 安全 认证 、 安 全 账户 管理 器 、 安 全 参考 监视 器 、 
注册 ,访问 控制 ,对 象 安全 服务 等 功能 模块 构成 ,这 些 功 能 模块 之 间 相互 作用 ,共同 实现 系统 
的 安全 功能 。 

在 多 任务 环境 中 ,CPU 以 用 户 模式 和 内 核 模式 运行 。 其 中 , 当 CPU 运行 于 内 核 模 式 
时 ,所 有 程序 都 可 运行 ,任务 可 以 执行 特权 级 指令 ,对 任何 MO 设备 有 全 部 的 访问 权 , 还 能 
够 访问 任何 虚拟 地 址 和 控制 虚拟 内 存 硬件 。 内 核 模 式 是 操作 系统 的 核心 部 分 ,设备 驱动 程 
序 都 运行 在 该 模式 。 在 用 户 模式 中 ,可 以 防止 硬件 特权 指令 的 执行 ,并 对 内 存 和 I/O 空间 
的 访问 操作 进行 检查 ,操作 系统 的 用 户 接 口 及 所 有 的 用 户 应 用 程序 都 运行 在 该 模式 下 。 


2.2 针对 Windows 数据 的 攻防 


针对 Windows 操作 系统 的 数据 安全 主要 包括 数据 本 身 的 安全 ,数据 存储 安全 和 数据 处 
理 安全 三 部 分 ,主要 面 对 的 安全 威胁 包括 电源 故障 、 存 储 器 故障 、 人 为 误 操作 、 网 络 入 侵 、 病 
毒 .信息 窃取 和 自然 灾害 等 方面 。 


2.2.1 数据 本 身 的 安全 


数据 本 身 的 安全 主要 通过 数据 加 密 技术 来 实现 ,包括 可 靠 的 加 密 算法 和 安全 体系 。 常 
用 的 加 密 算法 主要 有 对 称 加 密 算法 和 非 对 称 加 密 算法 (公开 密 钥 密码 体系 ) 两 种 。 本 节 重 点 
介绍 Windows 提供 的 EFS 加 密 和 BitLocker 加 密 方法 。 

1. EFS 加 密 方法 

EFS(Encrypting File System, 加 密 文 件 系统 ) 是 Windows 操作 系统 中 基于 NTFS 
(New Technology File System, 新 技术 文件 系统 ) 实 现 对 文件 进行 加 密 与 解密 服务 的 一 项 
技术 。EFS 采 用 核心 文件 加 密 技术 , 当 文 件 或 文件 夹 被 加 密 之 后 ,对 于 合法 Windows 用 户 
来 说 不 会 改变 其 使 用 习惯 。 当 操作 经 EFS 加 密 后 的 文件 时 与 操作 普通 文件 没有 任何 区 别 ， 
所 有 的 用 户 身 份 认证 和 解密 操作 由 系统 在 后 台 自 动 完成 。 而 对 于 非法 Windows 用 户 来 说 ， 
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则 无 法 打开 经 EFS 加 密 的 文件 或 文件 夹 。 在 多 用 户 Windows 操作 系统 中 ,不 同 的 用 户 ,可 
通过 EFS 加 密 自 己 的 文件 或 文件 夹 ,实现 对 重要 数据 的 安全 保护 。 

(1) EFS 的 加 密 过 程 。 在 Windows 操作 系统 中 ,选取 位 于 NTFS 分 区 中 的 待 加 密 的 文 
件 夹 后 ,依次 选择 “属性 一 常规 一 高 级 ”选项 ,在 打开 如 图 2-3 所 示 的 对 话 框 中 选中 “加 密 内 
容 以 便 保护 数据 " 复 选 框 后 ,就 可 以 对 指定 的 文件 夹 或 文件 进行 EFS 加 密 操作 。 下 面 主要 
介绍 EFS 加 密 的 实现 原理 。 


记 ， 
| 
存档 和 索引 属性 


回 可 以 存档 文件 来 A) 
| 加 除了 文件 属性 外 ， 还 允许 索引 此 文件 来 中 文件 的 内 容 C) 


| En 呈 属性 


| 压缩 内 容 以 便 节 省 磁盘 空间 人) 
回 加 密 内 容 以 便 保护 数据 到 ) 





图 2-3 ”对 指定 的 文件 夹 进行 EFS 加 密 操作 


@ 当 一 个 文件 或 文件 夹 被 加 密 时 ,EFS 调用 Windows Crypto API, 使 用 基于 口令 的 密 
钥 派 生 功 能 ,采用 Microsoft Base Cryptographic Provider 随机 生成 一 个 用 于 加 密 和 人 解密 文 
件 的 对 称 密 钥 FEK(File Encryption Key, 文 件 加 密 密 钥 ) 。 

@ 在 第 一 次 使 用 EFS 时 ,如 果 用 户 还 没有 非 对 称 密 钥 ( 公 钥 和 私 钥 对 ) ,系统 会 根据 该 
用 户 ( 加 密 者 ) 的 SID(Security Identifier, 安 全 标识 符 ) 生 成 一 个 1024 位 的 RSA 非 对 称 密 
钥 , 其 中 公 钥 保存 在 该 账户 的 证 书 文件 中 。 

需要 说 明 的 是 ,SID 是 标识 用 户 ,组 和 计算 机 账户 的 唯一 标识 符 , 第 一 次 创建 该 账户 时 ， 
系统 会 给 该 账户 生成 一 个 唯一 的 SID。 当 用 户 登 录 系 统 并 通过 验证 后 ,Windows 的 内 部 进 
程 将 调用 该 账户 的 SID 而 不 是 账户 的 用 户 名 或 组 名 。 也 就 是 说 ,创建 了 一 个 账户 并 将 其 删 
除 后 ,如 果 再 创建 一 个 同名 的 账户 , 则 新 创建 的 账户 与 被 删除 的 账户 的 SID 是 不 一 样 的 。 

@ EFS 从 用 户 证 书 中 获取 公 钥 ,用 来 加 密 FEK。 具 体会 在 文件 头 中 创建 一 个 DDF 
(Data Decryption Field ,数据 加 密 域 ) 字 段 , 用 来 保存 用 公 钥 加 密 的 FEK。 接 着 , EFS 使 用 
每 一 个 DRA(Data Recovery Agent, 数 据 恢复 代理 ) 证 书 中 的 公 钥 分 别 加 密 FEK ,然后 将 这 
些 经 DRA 加 密 的 FEK 组 合 起 来 ,共同 保存 在 加 密 文件 头 部 的 DRF(Data Recovery Field， 
数据 恢复 域 ) 字 段 中 。 

需要 说 明 的 是 , 当 利 用 EFS 加 密 数 据 时 ,一 旦 密 钥 数据 丢失 就 会 为 数据 的 恢复 带 来 困 
难 ,为 解决 这 些 问题 ,可 以 通过 创建 数据 恢复 代理 (DRA)。DRA 可 以 透明 地 访问 其 他 用 户 
加 密 的 文件 ,并 通过 执行 解密 操作 恢复 经 EFS 加 密 的 文件 或 文件 夹 ,是 EFS 策略 的 一 个 重 
要 部 分 。DRA 访问 加 密 文 件 的 过 程 和 加 密 用 户 访问 加 密 文 件 的 过 程 类 似 , 也 是 通过 公 钥 / 
私 钥 对 来 实现 的 。 针 对 一 个 EFS 加 密 用 户 , 可 以 同时 存在 多 个 DRA, 所 以 可 能 存在 多 个 经 
不 同 DRA 公 钥 加 密 的 FEK。 经 EFS 加 密 后 的 文件 结构 如 图 2-4 所 示 。 
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图 2-4 经 EFS 加 密 后 的 文件 结构 


@ 系统 并 没有 将 密 钥 保 存在 Windows 操作 系统 的 SAM 或 其 他 的 文件 夹 中 ,而 是 经 重 
新 加 密 后 保存 在 受 保护 的 密 钥 存储 区 域 中 。 为 了 安全 保存 私 钥 ,EFS 调用 数据 保护 API 
(Data Protection API) 一 个 256 位 的 被 称 为 用 户主 密 钥 (Master Key) 的 对 称 密 钥 ,用 该 密 
钥 加 密 私 钥 。 被 加 密 的 私 钥 保 存在 “%UserProfile%\ApplicationData\MicrosoftN\CryptoN 
RSA\SID” 文 件 夹 中 。 

@ 为 了 安全 保存 用 户主 密 钥 ,EFS 再 次 调用 数据 保护 API, 通 过 计算 该 EFS 用 户 凭据 
(包括 该 Windows 登录 账户 的 用 户 名 和 口令 ) 的 Hash 值 生成 一 个 对 称 密 钥 ,再 用 该 密 钥 加 
密 用 户主 密 钥 。 被 加 密 的 用 户主 密 钥 保存 在 *%UserProfile%\ApplicationData\Microsoft\ 
Protect\SID” 文 件 夹 中 。 

(2) EFS 的 解密 过 程 。EFS 的 解密 是 其 加 密 操作 的 逆 过 程 ,主要 操作 步 又 如 下 。 

@ 当 Windows 合法 用 户 需要 打开 经 EFS 加 密 的 文件 时 ,EFS 调用 数据 保护 API, 根 据 
该 登录 账户 的 用 户 名 和 口令 的 Hash 值 生 成 一 个 对 称 密 钥 ,再 利用 该 密 钥 得 到 用 户主 密 钥 
(Master Key) 。 

@ 通过 用 户主 密 钥 , 取 回 用 户 的 私 钥 。 

@ 通过 用 户 的 私 钥 ,解密 存放 在 文件 头 DDF( 数 据 加 密 域 ) 字 段 中 的 FEK 。 

@ 用 FEK 解密 被 加 密 文件 ,得 到 明文 数据 。 

除 以 上 的 EFS 加 密 用 户外 ,其 他 被 指派 的 数据 恢复 代理 也 可 以 通过 类 似 的 操作 来 解密 
被 EFS 加 密 的 文件 。 

(3) EFS 的 特点 。 在 谈 到 EFS 的 特点 前 ,首先 有 两 个 基本 的 概念 需要 强调 : 一 是 传统 
的 加 密 技 术 可 分 为 对 称 加 密 和 非 对 称 加 密 ( 公 钥 密 钥 ) 两 类 ,其 中 对 称 加 密 的 效率 要 比 非 对 
称 加 密 高 ,但 对 称 加 密 的 密 钥 管理 较为 困难 ,而 EFS 综合 运用 了 对 称 加 密 和 非 对 称 加 密 两 
种 技术 ,充分 利用 了 对 称 加 密 的 高 效 和 非 对 称 加 密 的 安全 性 优势 ; 二 是 身份 认证 技术 是 资 
源 受 保护 系统 对 访问 者 身份 的 合法 性 进行 验证 的 基础 ,而 身份 认证 的 关键 技术 是 数据 加 密 ， 
即 对 数据 访问 者 身份 进行 审核 ,只 有 符合 条 件 的 访问 者 才能 对 数据 进行 读 取 、 写 入 ,修改 等 
操作 。 

EFS 技术 的 特点 主要 体现 在 以 下 几 个 方面 。 

@ 对 于 用 户 来 说 ,EFS 技术 采用 了 透明 加 密 操 作 方 式 , 即 所 有 的 加 密 和 解密 过 程 对 用 
户 来 说 是 感觉 不 到 的 。 这 是 因为 EFS 运行 在 操作 系统 的 内 核 模式 下 ,通过 操作 文件 系统 ， 
向 整个 系统 提供 实时 、 透 明 \ 动 态 的 数据 加 密 和 解密 服务 。 当 合法 用 户 操作 经 EFS 加 密 的 
数据 时 ,系统 将 自动 进行 解密 操作 。 

@ 由 于 FEK 和 用 户主 密 钥 的 生成 都 与 登录 账户 的 用 户 名 和 口令 相关 ,所 以 用 户 登 录 
操作 系统 的 同时 已 经 完成 了 身份 验证 。 在 用 户 访问 经 EFS 技术 加 密 的 文件 时 ,用 户 身份 的 
合法 性 已 经 得 到 验证 ,无 须 再 次 输入 其 认证 信息 。 
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@ EFS 允许 文件 的 原 加 密 者 指派 其 他 的 合法 用 户 以 数据 恢复 代理 的 身份 来 解密 经 加 
密 的 数据 ,同一 个 加 密 文 件 可 以 根据 需要 由 多 个 合法 用 户 访 问 。 

@ EFS 技术 可 以 与 Windows 操作 系统 的 权限 管理 机 制 结合 ,实现 对 数据 的 安全 管理 。 

当然 ,EFS 技术 也 存在 一 些 设计 上 的 缺陷 和 应 用 中 的 不 足 , 主 要 表现 为 以 下 几 方 面 。 

Q@ EFS 技术 中 密 钥 的 生成 基于 登录 账户 的 用 户 名 和 口令 ,但 并 不 完全 依赖 于 登录 账户 
的 用 户 名 和 口令 ,如 FEK 由 用 户 的 SID 生成 。 当 重新 安装 了 操作 系统 后 ,虽然 创建 了 与 之 
前 完全 相同 的 用 户 名 和 口令 ,但 此 账户 非 彼 账 户 ,导致 原来 加 密 的 文件 无 法 访问 。 为 解决 此 
问题 ,EFS 提供 了 密 钥 导出 或 备份 功能 ,但 此 操作 仅 取决 于 用 户 的 安全 意识 。 

@ 由 于 EFS 将 所 有 的 密 钥 都 保存 在 Windows 分 区 中 ,攻击 者 可 以 通过 破解 登录 账户 
进一步 获取 所 需要 的 密 钥 ,以 解密 并 得 到 加 密 文件 。 

@ EFS 技术 可 以 防止 非法 用 户 访问 受 保护 的 数据 ,但 是 具有 删除 权限 的 用 户 可 以 删除 
经 EFS 加 密 的 文件 或 文件 夹 ,安全 性 受到 威胁 。 

2. BitLocker 加 密 方法 

BitLocker 全 称 为 Bitlocker Driver Encryption(BitLocker 驱动 器 加 密 ), 是 从 Windows 
Vista 开始 新 增 的 一 种 数据 保护 功能 ,以 防止 计算 机 中 存储 的 数据 因 硬盘 等 硬件 设备 丢失 
而 造成 的 数据 失窃 或 重要 信息 泄露 等 安全 问题 。 

(1) Windows 不 同 版 本 对 BitLocker 功能 的 支持 。Windows Vista 中 的 BitLocker 程 
序 只 能 实现 对 操作 系统 驱动 器 的 加 密 , 从 Windows Vista SP1 和 Windows Server 2008 开 
始 增 加 了 对 固定 数据 驱动 器 的 加 密 , 从 Windows Server 2008 和 Windows 7 开始 增加 了 
BitLocker to Go 功能 ,可 以 对 外 部 硬盘 驱动 器 和 USB 闪存 驱动 器 (U 盘 ) 等 可 移动 数据 驱 
动 器 进行 加 密 。 从 Windows Server 2012 和 Windows 8 开始 ,BitLocker 程序 引入 了 网 络 解 
锁 功 能 ,在 域 环境 下 通过 自动 解锁 可 以 在 重新 启动 系统 时 加 入 到 域 环 境 中 ,同时 还 提供 了 仅 
加 密 已 用 磁盘 空间 的 加 密 方式 ,以 加 速 加 密 过 程 。 从 Windows Server 2012 R2 和 Windows 
8. 1 开始 ,BitLocker 程序 开始 支持 TPM(Trusted Platform Module, 可 信和 平台 模块 ), 可 以 
对 安装 有 TPM 芯片 的 基于 x86 和 x64 的 计算 机 上 的 数据 实现 从 操作 系统 启动 开始 到 应 用 
程序 运行 全 过 程 的 安全 保护 。 同 时 ,恢复 密码 保护 程序 使 用 符合 FIPS(Federal Information 
Processing Standards ,美国 联邦 信息 处 理 标 准 ) 的 算法 。 

(2) BitLocker 的 加 密 原 理 。BitLocker 采用 128 一 256 位 的 AESCAdvanced Encryption 
Standard ,高 级 加 密 标 准 算法 ) 对 指定 的 每 个 扇 区 单独 进行 加 密 , 加 密 密 钥 的 一 部 分 源 自 于 
扇 区 编号 。 为 此 ,两 个 存储 状态 完全 相同 的 扇 区 也 会 产生 不 同 的 加 密 密 钥 。 使 用 AES 加 密 
数据 前 ,BitLocker 还 会 使 用 一 种 称 为 扩散 器 (diffuser) 的 算法 ,确保 即使 是 对 明文 的 细微 改 
变 都 会 导致 整个 扇 区 的 加 密 密 文 发 生变 化 ,这 使 得 攻击 者 发 现 密 钥 或 数据 的 难度 大 大 增加 。 

BitLocker 使 用 FVEK(Full Volume Encrypt Key, 全 卷 加 密 密 钥 ) 对 整个 系统 卷 进行 
加 密 ,FVEK 又 被 VMK(Volume Master Key, 主 卷 密 钥 ) 加 密 。 因 此 ,如 果 VMK 被 攻击 者 
破解 ,那么 系统 可 以 通过 更 换 新 的 VMK 来 重新 加 密 FVEK ,而 不 需要 对 磁盘 数据 解密 后 再 
重新 进行 加 密 。 

使 用 BitLocker 加 密 系 统 磁盘 时 ,系统 生成 一 个 启动 密 钥 和 一 个 恢复 密 钥 (recovery 
key) 。 人 恢复 密 钥 是 一 个 以 文件 方式 存在 的 密码 文件 ,为 48 位 明文 密码 ,该 48 位 的 密码 分 为 
8 组 ,每 组 由 6 个 数字 组 成 ,可 以 查看 和 打印 保存 。BitLocker 保存 的 是 恢复 密 钥 ,与 之 对 应 
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的 是 启动 密 钥 。 需 要 的 时 候 , 可 以 使 用 恢复 密 钥 解密 出 被 加 密 的 磁盘 副本 。 如 果 将 
BitLocker 保护 的 磁盘 转移 到 其 他 计算 机 上 ,可 以 使 用 恢复 密 钥 打开 被 加 密 的 文件 。 系 统 启 
动 密 钥 和 恢复 密 钥 都 可 以 备份 保存 。 

(3) BitLocker 支持 的 两 种 工作 模式 。 根 据 独 立 设备 的 不 同 , BitLocker 主要 包含 TPM 
(Trusted Platform Module, 可 信和 平台 模块 ) 和 U 盘 两 种 工作 模式 。 如 果 要 使 BitLocker 工 
作 在 TPM 模式 下 ,计算 机 最 低 需要 支持 TPM v1.2。TPM 芯片 一 般 集成 在 计算 机 主板 上 ， 
BitLocker 会 将 其 密 钥 保存 在 TPM 指定 的 存储 区 域 中 。 经 BitLocker 加 密 的 系统 引导 磁盘 
启动 时 , 先 由 TPM 解密 SRK(Storage Root Key, 存 储 根 密 钥 ) ,再 由 SRK 解密 VMK ,然后 
由 VMK 解密 FVEK, 最 后 由 FVEK 解密 磁盘 数据 完成 系统 启动 ,启动 过 程 如 图 2-5 所 示 。 
如 果 计 算 机 没有 TPM 芯片 ,可 以 使 用 UU 盘 等 USB 设备 来 保存 加 密 密 钥 和 解密 密 钥 ,这 时 
BitLocker 需要 工作 在 U 盘 模 式 下 ,此 时 用 户 必须 输入 正确 的 PIN(Personal Identification 
Number, 个 人 识别 码 ) 或 插入 USB 密 钥 并 输入 正确 的 启动 口令 (startup password); 否则 
系统 无 法 正常 启动 。 


FO 


旧 Encrypted VMK Encrypted FVEK Encrypted OS volume 









































图 2-5 支持 TPM 的 BitLocker 加 密 系统 的 启动 过 程 


TPM 是 可 信 计 算 (Trusted Computing,TC) 实 现 的 基础 , 它 为 可 信 计 算 平 台中 实现 数 
据 的 真实 性 、 数 据 的 机 密 性 、 数 据 保护 ,以 及 代码 的 真实 性 、 代 码 的 机 密 性 和 代码 的 保护 提供 
密 钥 生 成 与 管理 ,证 书 管理 等 安全 保障 。 基 于 TPM 的 可 信 计 算 技 术 , 用 于 保护 指定 的 数据 
存储 区 ,防止 攻击 者 实施 特定 类 型 的 物理 访问 ,同时 赋予 所 有 在 计算 平台 上 执行 的 代码 以 证 
明 它 在 一 个 未 被 算 改 环境 中 运行 的 能 力 。BitLocker 便 是 可 信 计 算 技术 在 Windows 环境 下 
的 具体 应 用 。 

(4) BitLocker 的 启用 。 对 于 存 有 重要 数据 的 磁盘 分 区 ,可 以 利用 BitLocker 程序 对 其 
直接 进行 加 密 , 这 样 只 有 合法 用 户 才 能 访问 加 密 的 数据 内 容 , 其 他 用 户 在 尝试 访问 被 加 密 的 
数据 分 区 时 ,系统 会 弹出 类 似 “拒绝 访问 "的 提示 。 在 对 某 一 数据 分 区 执行 “启用 BitLocker” 
项 目 后 ,在 弹出 的 如 图 2-6 所 示 的 对 话 框 中 选中 “使 用 密码 解锁 驱动 器 ”或 “使 用 智能 卡 解锁 
了 驱动器" 复 选 框 ,如 果 本 地 计算 机 没有 集成 TPM 芯片 ,就 只 能 选择 “使 用 密码 解锁 驱动 器 ” 
遍 式 。 

之 后 ,在 访问 加 密 分 区 中 的 文件 时 ,需要 输入 事先 设置 的 密码 。 如 果 在 本 地 计算 机 中 同 
时 安装 了 两 个 操作 系统 , 当 切 换 到 另 一 个 系统 后 试图 访问 加 密 磁盘 分 区 中 的 文件 时 ,系统 会 
弹出 类 似 “驱动 器 不 可 用 ”的 提示 。 如 果 用 户 将 加 密 分 区 所 在 的 硬盘 移动 到 其 他 计算 机 上 ， 
该 加 密 分 区 中 的 内 容 也 不 能 被 直接 访问 。 要 能 够 访问 ,必须 要 使 用 加 密 该 分 区 时 创建 的 备 
份 密 钥 ,从 而 大 大 提升 了 硬盘 数据 的 安全 性 。 不 过 , 当 加 密 数 据 从 NTFS 加 密 驱 动 器 复制 
到 其 他 文件 系统 上 时 会 自动 解密 。 
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选择 希望 解锁 此 驱动 器 的 方式 
使 用 密码 解 名 驱动 器 (P) 
窗 码 应 该 包含 大 小 写字 母 、 数字 .空格 以 及 符号 





再 次 汝 入 罕 吧 : seeeeee 


园 使 用 智 诱 卡 解 铝 B 动 器 (S) 
需要 插入 智能 卡 ， 解 钢 驱 动 器 时， 构 需 要 智能 卡 PIN。 
在 此 计算 机 上 自动 解锁 此 驱动 器 (A) 


= 











图 2-6 设置 BitLocker 的 解锁 方式 


2.2.2 数据 存储 安全 


数据 存储 的 对 象 是 指数 据 在 加 工 前 需要 查找 的 信息 或 数据 流 在 加 工 过 程 中 产生 的 临时 
文件 。 不 管 是 哪 类 数据 ,都 以 某 种 格式 记录 在 计算 机 内 部 或 外 部 的 存储 介质 上 。 数 据 存储 
安全 主要 针对 的 是 存储 在 介质 上 的 数据 的 安全 管理 ,防止 攻击 者 窃取 数据 或 因 管 理 不 当 造 
成 数据 的 丢失 或 损坏 。 

1. 独立 宛 余 磁 盘 阵列 (RAID) 技 术 

独立 宛 余 磁盘 阵列 (Redundant Array of Independent Disks,RAID) 始 于 20 世纪 80 年 
代 美 国 加 州 大 学 伯克利 分 校 的 一 个 研究 项 目 ,当时 RAID 被 称 为 廉价 元 余 磁 盘 阵 列 
(Redundant Array of Inexpensive Disks) ,简称 磁盘 阵列 。 后 来 RAID 中 的 字母 1 被 改 为 了 
Independent, RAID 就 成 了 “独立 元 余 磁盘 阵列 ”, 但 这 只 是 名 称 的 变化 ,实质 性 的 内 容 并 没 
有 改变 。 在 系统 和 数据 安全 方面 ,RAID 技术 具有 其 明显 的 优势 。 

(1) RAID 系统 的 结构 。 简 单 地 说 ,RAID 是 由 多 个 独立 的 高 性 能 磁盘 驱动 器 组 成 的 磁 
盘子 系统 ,图 2-7 是 RAID 的 组 成 结构 示意 图 。 

RAID 系统 由 两 个 主要 部 件 组 成 : RAID 控制 器 和 磁盘 阵列 。RAID 控制 器 是 RAID 
系统 的 核心 ,负责 数据 的 交换 和 缓冲 ,并 管理 主机 (或 网 络 ) 与 磁盘 阵列 之 间 的 数据 流 。 
RAID 控制 器 可 以 连接 SAN (Storage Area Network, 存储 局 域 网 络 )、NAS (Network 
Attached Storage, 网 络 附属 存储 ) 或 DAS(Direct-Attached Storage, 直 连 式 存储 )。 虽 然 
RAID 由 多 个 磁盘 组 成 ,但 是 对 于 主机 来 说 ,RAID 就 像 单个 大 容量 的 虚拟 磁盘 驱动 器 。 
RAID 控制 器 通常 以 高 速 接口 技术 (如 光纤 通道 、SCSI 等 ) 与 主机 或 网 络 相连 接 。 

(2) RAID 的 工作 方式 。 根 据 系 统 所 提供 的 磁盘 I/O 性 能 和 数据 存储 安全 性 的 不 同 ， 
目前 普遍 使 用 的 RAID 可 分 为 RAIDO、RAID1、RAID0 十 1、.RAID3 和 RAID5 等 级 别 。 
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磁盘 阵列 





图 2-7 RAID 的 组 成 结构 示意 图 


Q@ RAID0。RAID0 也 称 为 带 区 集 , 是 一 种 无 元 余 、 无 校 验 的 磁盘 阵列 。 如 图 2-8 所 示 ， 
当 写 人 数据 时 ,数据 先 被 分 割 成 大 小 为 64KB 的 数据 块 , 然 后 并 行 存储 到 带 区 集 的 每 个 磁盘 
中 。 系 统 读 取 磁盘 数据 时 ,将 同时 从 各 个 磁盘 并 发 读 取 数 据 块 ,经 自动 整合 后 形成 一 个 完整 
的 数据 。RAID0 的 最 大 优势 是 通过 快速 读 取 , 提 高 了 磁盘 1/O 系统 的 性 能 。 但 当 带 区 集中 
的 任何 一 个 硬盘 或 分 区 损坏 时 ,将 造成 所 有 数据 的 丢失 。 








图 2-8 ”RAID0 的 工作 原理 


@@ RAID1。RAID1 即 通常 所 讲 的 磁盘 镜像 ,所 以 也 称 为 镜像 磁盘 阵列 , 它 是 在 一 个 硬 
盘 控 制 卡 上 安装 两 块 硬盘 。 如 图 2-9 所 示 ,其 中 一 个 设置 为 主 盘 (master) , 另 一 个 设置 为 镜 
像 盘 或 从 盘 (slaver) 。 








图 2-9 ”RAID1 的 工作 原理 
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当 系 统 写 入 数据 时 ,会 分 别 存 人 两 个 硬盘 中 ,两 个 硬盘 中 保存 有 完全 相同 的 数据 。 一 旦 
一 个 硬盘 损坏 , 另 一 个 硬盘 会 继续 工作 。RAID1 具有 很 好 的 容错 能 力 , 但 是 当 硬盘 控制 卡 受 
损 时 ,数据 将 无 法 读 取 。RAID1 具有 最 高 的 安全 性 ,但 只 有 一 半 的 磁盘 空间 被 用 来 存储 数据 。 

@ RAID5。RAID5 是 一 种 带 奇 偶 校 验 的 带 区 集 。 它 是 在 RAID0 的 基础 上 增加 了 对 
写 和 人 数据 的 安全 恢复 功能 。 如 图 2-10 所 示 ,数据 块 分 散 存 放 在 带 区 集 的 所 有 硬盘 中 ,同时 
每 个 硬盘 都 有 一 个 固定 区 域 ( 约 占 所 使 用 硬盘 分 区 的 1/3) 来 存放 一 个 奇偶 校 验 数据 ECC 
(Error Correcting Code, 差 错 校 验 码 )。 当 任何 一 个 硬盘 失效 时 ,可 利用 此 奇偶 校 验 数据 推 
算出 故障 盘 中 的 数据 来 ,并 且 这 个 恢复 操作 在 不 停机 的 状态 下 由 系统 自动 完成 。RAID5 在 
使 整个 硬盘 的 W/O 性 能 得 到 明显 改善 的 同时 ,还 具有 非常 好 的 容错 能 力 ,但 硬盘 空间 无 法 
全 部 用 来 保存 正常 数据 。 








Datal4 


图 2-10 ”RAIDS 的 工作 原理 


前 面 分 别 介绍 了 多 种 RAID 方案 ,在 这 些 方案 中 ( 除 RAID0) ,不 论 何 时 有 磁盘 损坏 ,都 
可 以 随时 拔 出 损坏 的 磁盘 再 插入 好 的 磁盘 ,数据 不 会 受到 损坏 ,失效 磁盘 上 的 内 容 可 以 很 快 
被 重建 和 恢复 ,而且 整 个 过 程 都 由 相关 的 硬件 或 软件 来 完成 。 

2. 双 机 热 备 

对 于 一 些 重要 的 系统 来 说 ,为 了 提高 系统 的 可 靠 性 和 可 用 性 ,在 一 些 关键 部 分 可 采用 双 
机 热 备 技术 。 双 机 热 备 系统 的 要 求 为 : 一 台 设 备 发 生 故 障 后 , 另 一 台 设备 能 够 立即 接替 工 
作 ,而 且 对 相关 的 设备 没有 影响 。 在 双 机 热 备 系统 中 ,由 一 台 设 备 接替 另 一 台 设 备 的 工作 过 
程 对 用 户 来 说 是 透明 的 , 即 无 感知 的 。 

双 机 热 备 技术 的 实现 方式 ,如 图 2-11 所 示 。 双 机 (活动 主机 和 备用 主机 ) 位 于 同一 个 网 
络 中 ,并 共享 同一 个 存储 ,它们 之 间 通 过 心跳 线 实时 传输 彼此 存在 的 信号 。 用 户 数据 一 般 存 
放 在 磁盘 阵列 上 , 当 活 动 主 机 出 现 故 障 无 法 提供 正常 服务 后 ,备用 主机 继续 从 磁盘 阵列 上 取 
得 原 有 数据 。 

双 机 热 备 系统 是 基于 共同 文件 系统 建立 的 ,也 就 是 活动 主机 和 备用 主机 上 的 内 容 完 
一 致 。 心 跳 线 的 作用 是 让 两 台 主机 之 间 相 互 检测 对 方 是 否 存在 ,服务 是 否 健全 ,一 旦 任何 一 
方 心跳 消失 , 则 另 一 台 主 机 立即 接替 .继续 提供 服务 。 目 前 , 双 机 热 备 软件 的 主要 功能 就 是 
处 理 心跳 信号 ,在 双 机 之 间 交 换 信息 ,并 确保 心跳 和 所 有 服务 正常 。 
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活动 主机 备用 主机 
rr 
图 2-11 双 机 热 备 技术 的 实现 方式 





3. 数据 迁移 

数据 迁移 又 称 为 数据 的 分 级 存储 管理 ,是 指 将 系统 中 很 少 使 用 或 一 段 时 间 不 用 的 数据 ， 
从 本 地 存储 设备 迁移 到 辅助 设备 的 过 程 。 一 般 情况 下 ,会 将 访问 频率 高 的 数据 存放 在 性 能 
较 高 的 本 地 存储 设备 中 ,而 访问 频率 低 的 数据 则 存放 在 相对 廉价 的 辅助 设备 中 。 由 本 地 设 
备 与 辅助 设备 构成 一 个 协调 工作 的 存储 系统 ,通过 制定 策略 对 指定 数据 进行 动态 迁移 。 

数据 迁移 策略 的 制定 和 执行 是 一 个 相对 复杂 的 过 程 ,一 般 分 为 数据 迁移 前 的 准备 .数据 
迁移 的 实施 和 数据 迁移 后 的 校 验 3 个 阶段 。 其 中 ,准备 工作 是 实施 迁移 的 基础 ,需要 对 待 迁 
移 的 数据 源 进行 详细 分 析 , 包 括 数据 的 存储 方式 、 数 据 量 、 数 据 的 时 间 跨 度 等 ; 实施 工作 是 
数据 迁移 中 最 为 重要 的 一 个 环节 ,需要 结合 具体 的 环境 要 求 ,制定 详细 的 实施 步骤 ,并 对 涉 
及 的 技术 进行 测试 ,最 后 再 实施 迁移 工作 ; 校 验 是 指 在 迁移 实施 工作 结束 后 ,对 数据 迁移 质 
量 的 检查 ,包括 对 数据 完整 性 .一致 性 .记录 条 数 等 内 容 的 检查 , 它 是 判断 被 迁移 后 的 系统 能 
否 正 式 启用 的 重要 依据 。 

回迁 是 迁移 的 逆 过 程 , 一 般 可 以 通过 将 存档 文件 的 名 称 列表 保留 在 本 地 存储 设备 上 来 
实现 。 当 用 户 需 要 存档 的 文件 时 ,会 在 存档 目录 中 查找 该 文件 ,找到 后 便 像 访问 本 地 文件 一 
样 来 调用 它 。 在 调用 过 程 中 ,文件 从 辅助 设备 (如 离线 存储 、 光 盘 等 ) 回 迁 到 本 地 设备 ( 磁 
盘 )。 回 迁 过 程 在 后 台 进行 ,文件 从 辅助 设备 回迁 到 本 地 设备 的 过 程 对 用 户 是 透明 的 。 被 回 
迁 的 文件 ,在 用 户 处 理 结束 后 又 迁 回 到 辅助 设备 中 。 

4. 异地 容 灾 

异地 容 灾 是 指 在 相隔 较 远 的 不 同 地 点 ,分 别 建立 两 套 或 多 套 功 能 相同 的 信息 系统 ,系统 
之 间 可 以 进行 健康 状态 监视 和 功能 切换 。 当 其 中 一 处 系统 因 意 外 (如 火灾 、 地 震 等 ) 停 止 工 
作 时 ,整个 应 用 系统 可 以 自动 切换 到 另 一 套 , 使 得 应 用 系统 可 以 继续 提供 服务 ,保证 了 业务 
的 连续 。 

(1) 异地 容 灾 的 指标 。 衡 量 异地 容 灾 技术 时 ,用 到 了 两 个 指标 RPO 和 RTO。 其 中 ， 
RPO(Recovery Point Object, 恢 复 点 目标 ) 主 要 是 指 业务 系统 所 能 容忍 的 数据 丢失 量 ; 
RTO(Recovery Time Object, 恢 复 时 间 目 标 ) 主 要 是 指 业务 系统 所 能 容忍 的 业务 停止 服务 
的 最 长 时 间 , 即 从 灾难 发 生 到 业务 系统 恢复 服务 功能 所 需要 的 最 短 时 间 。RPO 针对 的 是 数 
据 丢失 ,而 RTO 针对 的 是 服务 丢失 ,二 者 没有 必然 的 关联 性 。RPO 和 RTO 的 确定 必须 在 
进行 风险 分 析 和 业务 影响 分 析 后 根据 不 同 的 业务 需求 确定 。 

(2) 容 灾 恢复 关键 技术 。 异 地 容 灾 系统 所 涉及 的 恢复 技术 一 般 包 括 数据 恢复 技术 、 应 
用 恢复 技术 和 网 络 恢复 技术 3 种 。 
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@ 数据 恢复 技术 。 数 据 恢复 技术 是 指 通过 建立 一 个 异地 的 数据 备份 系统 ,将 其 作为 本 
地 关键 应 用 或 重要 数据 的 一 个 备份 ,以 备 本 地 数据 或 整个 应 用 系统 出 现 灾 难 时 使 用 。 与 本 
地 生产 的 数据 相 比 ,异地 备份 的 数据 既 可 以 是 完全 实时 的 ,也 可 以 在 确保 可 用 的 前 提 下 存在 
一 定时 间 上 的 滞后 。 对 于 数据 备份 和 数据 复制 技术 ,根据 实现 方式 的 不 同 , 可 以 分 为 同步 传 
输 方式 和 异步 传输 方式 。 同 步 方式 是 指数 据 在 本 地 和 异地 都 保存 成 功 后 , 才 会 将 数据 成 功 
存储 的 信息 反馈 给 应 用 系统 ; 异步 方式 是 数据 只 要 在 本 地 存储 成 功 ,就 将 成 功 存储 的 信息 
反馈 给 应 用 系统 ,而 数据 存储 到 异地 是 在 后 台 异 步 完 成 的 。 

@ 应 用 恢复 技术 。 应 用 恢复 技术 是 在 数据 容 灾 的 基础 上 ,在 异地 建立 一 套 完整 的 与 本 
地 生产 系统 功能 相同 的 备份 应 用 系统 ,实现 本 地 系统 与 异地 系统 之 间 的 相互 备份 。 这 是 一 
个 相对 复杂 的 工作 , 它 不 是 单纯 的 在 异地 重建 一 套 系统 ,而 需要 包括 网 络 、 主 机 、 应 用 、 安 全 
等 各 种 资源 之 间 的 协调 。 其 中 ,涉及 的 主要 技术 包括 负载 均衡 .远程 镜像 .快照 .虚拟 化 等 。 
数据 容 灾 是 应 用 容 灾 的 基础 ,应 用 容 灾 是 数据 容 灾 的 目标 。 

@ 网 络 恢复 技术 。 异 地 容 灾 的 实质 是 在 不 同 地 方 建立 不 同 的 数据 中 心 。 其 中 ,本 地 生 
产 系统 所 在 的 数据 中 心 称 为 主 数据 中 心 ; 而 异地 数据 中 心 称 为 备 援 数据 中 心 。 早 期 的 主 数 
据 中 心 和 备 援 数据 中 心 之 间 的 数据 备份 ,主要 是 基于 SAN(Storage Area Network ,存储 区 
域 网 络 ) 的 远程 复制 (镜像 ) 方 式 来 实现 , 即 通 过 光纤 通道 (Fiber Channel, FC) 把 不 同 地 理 位 
置 的 SAN 连接 起 来 ,进行 远程 复制 。 当 灾难 发 生 时 ,由 备 援 数据 中 心 替 代 主 数据 中 心 的 工 
作 , 以 保证 系统 服务 的 持续 性 。 随 着 IP 技术 的 发 展 和 广泛 应 用 ,可 利用 基于 IP 的 SAN 互 
联 协议 (如 FCIP iFCP Infiniband ,iSCSI 等 ) ,通过 已 有 的 IP 网 络 可 将 主 数据 中 心 SAN 中 
的 信息 远程 复制 到 备 援 中 心 SAN 中 。 这 种 基于 IP SAN 的 远程 容 灾 备份 方式 ,不 但 使 存储 
空间 得 到 更 加 充分 的 利用 ,而 且 使 得 部 署 和 管理 更 加 有 效 。 


2.2.3 数据 处 理 安 全 


数据 处 理 安全 主要 指 在 数据 处 理 过 程 的 各 个 环节 中 ,对 数据 的 安全 性 进行 管理 ,以 防止 
攻击 者 窃取 数据 或 造成 数据 的 泄露 。 
1. 数据 备份 


数据 备份 是 最 传统 也 是 最 为 可 靠 的 一 种 安全 防范 技术 。 数 据 备份 就 是 在 其 他 介质 上 复 
制 并 保存 数据 的 副本 。 例 如 ,在 日 常 的 工作 中 ,经 常 将 重要 数据 备份 到 光盘 、U 盘 、 网 盘 等 
介质 中 ,以 备 本 地 数据 损坏 后 进行 恢复 。 

常用 的 备份 策略 有 两 种 : 完整 备份 和 增 量 备份 。 其 中 ,完整 备份 是 指 把 所 选择 的 数据 
完整 地 复制 到 其 他 介质 上 ; 而 增 量 备份 仅 备份 从 上 次 备份 以 来 添加 或 变更 的 数据 。 对 于 完 
整备 份 , 由 于 所 有 的 数据 都 被 复制 到 存储 介质 中 的 连续 区 域 ,恢复 时 也 就 比较 简单 ,但 在 备 
份 时 要 占用 大 量 的 网 络 和 存储 资源 。 而 对 于 增 量 备份 ,每 次 都 只 将 被 修改 的 数据 进行 复制 ， 
这 对 于 大 文件 和 大 数据 库 来 说 ,在 备份 时 是 很 方便 、 实 用 的 。 但 在 恢复 数据 时 ,数据 分 散在 
存储 介质 的 不 同 区 域 甚至 是 不 同 存储 介质 上 ,导致 恢复 过 程 很 复杂 。 为 了 在 备份 和 恢复 性 
能 之 间 取 得 平衡 ,一般 的 解决 方式 是 在 一 次 完整 备份 后 可 以 连续 进行 几 次 增 量 备份 ,但 增 量 
备份 的 连续 次 数 被 限制 在 很 小 的 数目 以 内 ,超过 这 个 数目 就 必须 进行 完整 备份 。 

在 数据 备份 中 ,往往 有 一 份 完整 数据 或 数据 块 的 多 个 复制 存放 在 多 个 介质 上 。 为 了 比 
较 两 个 数据 的 一 致 性 ,现在 可 以 通过 Hash 数据 或 数据 块 的 内 容 来 建立 索引 ,同时 也 可 以 确 
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保 备 份 数据 的 真实 性 ,防止 备份 数据 的 算 改 。 

2. 权限 管理 

权限 是 指 为 了 保证 职责 的 有 效 履 行 ,任职 者 必须 具备 的 对 某 事项 进行 决策 的 范围 和 程 
度 。 权 限 管理 是 指 根据 系统 设置 的 安全 规则 或 安全 策略 ,用户 可 以 访问 而 且 只 能 访问 自己 
被 授权 的 资源 ,权限 管理 的 原则 是 够 用 就 行 , 即 最 低 权限 原则 。 

科学 合理 的 权限 管理 策略 可 以 有 效 保 护 数据 ,防止 数据 的 破坏 。 在 具体 实施 中 ,可 以 根 
据 不 同 用 户 在 组 织 内 的 角色 和 职责 为 其 分 配 相 应 级 别 的 权限 。 权 限 的 赋予 并 不 是 越 高 越 
好 ,尤其 是 要 慎重 给 用 户 赋予 “管理 员 ” 权 限 。 例 如 ,对 于 共享 服务 资源 的 权限 赋予 ,一 般 仅 
分 配给 用 户 访问 特定 资源 或 使 用 特定 程序 的 权限 。 

3. 数据 加 密 

数据 加 密 是 针对 数据 的 可 北 转 换 , 即 借助 加 密 软件 对 数据 进行 可 逆 加 密 转换 ,并 将 验证 
口令 以 不 可 道 算法 加 密 后 写 入 文件 中 。 通 过 加 密 , 实 现 介质 中 存储 的 数据 或 网 络 节点 之 间 
传输 的 数据 的 机 密 性 和 完整 性 。 加 密 是 对 访问 控制 方法 的 一 种 补充 ,对 笔记 本 电脑 、 智 能手 
机 等 易 丢 失 设 备 上 的 数据 或 网 络 中 的 共享 文件 ,可 以 通过 加 密 进 行 有 效 的 保护 。 前 面 介绍 
的 针对 Windows 相应 版 本 的 EFS 和 BitLocker 技术 ,都 是 通过 加 密 技 术 来 实现 的 。 














2.3 针对 账户 的 攻防 


利用 操作 系统 的 漏洞 ,攻击 者 可 以 对 目标 计算 机 进行 远程 控制 ,让 其 执行 各 种 操作 和 命 
令 。 但 对 于 任何 一 个 操作 系统 来 说 ,出 于 安全 考虑 ,对 其 访问 账户 的 权限 都 进行 了 严格 管 
理 。 例 如 ,攻击 者 利用 权限 提升 漏洞 可 以 提升 入 侵 账 号 的 权限 (直至 系统 管理 员 权限 ) ,进而 
对 计算 机 进行 控制 或 进行 恶意 操作 。 账 户 管理 尤其 是 账户 权限 的 管理 ,对 防范 网 络 攻击 具 
有 重要 的 意义 。 


2.3.1 账户 和 组 


账户 是 用 户 登 录 系 统 时 的 凭证 ,一 般 由 用 户 名 和 对 应 的 口令 组 成 ,账户 也 称 为 用 户 账 
户 。 组 是 对 用 户 进 行 分 类 管理 的 基本 单位 ,同一 组 中 的 用 户 具 有 相同 的 权限 。 

1. 安全 主体 

在 Windows 操作 系统 中 ,可 以 将 用 户 、 组 .计算 机 或 服务 都 看 作 是 一 个 安全 主体 。 根 据 
系统 架构 的 不 同 ,账户 的 管理 方式 也 有 所 不 同 , 其 中 本 地 账户 由 本 地 SAM 文件 来 管理 ,而 
域 账户 由 活动 目录 (Acetive Directory,AD) 管 理 。 

用 户 是 登录 计算 机 的 一 个 独立 安全 主体 。Windows 中 存在 本 地 用 户 和 域 用 户 两 种 类 
型 ,其 中 本 地 用 户 是 在 计算 机 的 本 地 安全 账户 管理 器 (SAM) 数 据 库 中 定义 的 ,每 一 台 
Windows 计算 机 都 有 一 个 本 地 SAM, 用 于 管理 该 计算 机 上 的 所 有 用 户 。 本 地 SAM 至 少 包 
含 Administrator 和 Guest 两 个 账户 。 

需要 说 明 的 是 ,对 于 活动 目录 域 控制 器 来 说 仍然 存在 本 地 的 SAM, 只 不 过 该 SAM 中 
的 账户 只 能 在 目录 服务 还 原 模式 下 使 用 。 
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在 操作 系统 发 展 早期 ,设计 者 已 经 意识 到 将 每 个 对 象 的 权限 分 配给 需要 它 的 每 个 用 户 ， 
在 管理 上 是 非常 困难 的 。 为 此 ,设计 者 提出 了 组 的 概念 ,即将 拥有 相同 权限 的 用 户 置 于 同一 
个 组 进行 管理 。 组 也 是 一 种 安全 主体 ,在 Windows 中 用 户 可 以 是 多 个 组 的 成 员 ,并 且 对 象 
可 将 权限 分 配给 多 个 组 ,组 可 以 嵌 套 。 

2. 常用 账户 

Windows 操作 系统 中 有 两 个 常用 账户 : Administrator 和 Guest。 这 两 个 账户 是 网 络 攻 
击 者 经 常 关注 和 获取 的 目标 ,加 强 对 这 两 个 账户 的 安全 管理 是 实现 防范 的 有 效 方法 。 

(1) Administrator。Administrator 是 Windows 操作 系统 内 置 的 具有 最 高 管理 权限 的 
系统 管理 员 账 户 ,也 称 为 超级 用 户 。Administrator 对 系统 拥有 全 部 的 控制 权 ,可 以 管理 计 
算 机 内 置 账户 ,通过 该 账户 可 以 对 计算 机 进行 全 部 的 操作 ,包括 安装 程序 . 读 取 或 删除 计算 
机 上 所 有 的 文件 等 。 

只 有 拥有 Administrator 账户 的 用 户 , 才 拥有 对 计算 机 上 其 他 用 户 账户 的 完全 控制 权 ， 
包括 创建 和 删除 计算 机 上 的 用 户 账户 ; 为 其 他 用 户 账户 设置 密码 ; 更 改 其 他 用 户 的 账户 类 
型 等 。 需 要 说 明 的 是 ,Administrator 无 法 将 自己 更 改 为 受 限制 的 账户 类 型 ,除非 在 该 计算 
机 上 有 多 个 拥有 Administrator 权限 的 用 户 账户 。 

(2) Guest。Guest( 来 宾 ) 没 有 预 设 的 密码 ,是 供 那 些 在 系统 中 暂时 没有 个 人 账户 的 用 
户 ,在 访问 计算 机 时 使 用 的 临时 账户 。 出 于 安全 起 见 ,系统 默认 Guest 处 于 禁用 状态 。 
Guest 可 以 更 名 和 禁用 ,但 不 能 被 删除 。 

当 用 户 通过 Guest 登录 系统 时 ,可 以 访问 已 经 安装 在 计算 机 上 的 程序 ,但 无 法 更 改 其 账 
户 类 型 。 

3. 常用 组 

Windows 操作 系统 中 常见 的 组 有 Administrators、Users 和 Guests。 其 中 ,位 于 
Administrators 组 中 的 用 户 拥有 修改 .控制 系统 的 权利 ,主要 包括 安装 操作 系统 和 组 件 、 升 
级 操作 系统 和 安装 补丁 程序 、 修 复 操作 系统 .配置 操作 系统 的 主要 参数 .管理 安全 和 审计 日 
志 、 备 份 和 还 原 系统 等 。 位 于 Users 组 中 的 成 员 不 允许 修改 操作 系统 的 设置 或 其 他 用 户 的 
参数 , 仅 可 以 从 事 一 些 有 限 的 操作 ,主要 包括 创建 和 管理 本 地 组 、 运 行经 认证 的 程序 (这 些 程 
序 由 管理 员 安 装 或 部 署 ) 等 。Guests 组 是 微软 公司 为 了 提升 系统 的 安全 性 ,为 特殊 情况 下 
的 应 用 设计 的 ,如 局 域 网 中 的 文件 共享 就 是 利用 Guests 组 来 实现 的 。 

需要 说 明 的 是 ,在 Windows 活动 目录 域 控制 器 中 ,出 于 对 不 同 用 户 的 细 精 度 ( 权 限 管理 
等 级 ) 管 理 , 提 供 了 大 量 的 组 ,有 些 组 的 功能 随 着 操作 系统 版 本 的 升级 而 变化 。 由 于 目前 
Windows 操作 系统 的 版 本 较 多 ,所 以 在 此 不 再 一 一 袭 述 , 需 要 时 可 查阅 对 应 版 本 的 操作 
说 明 。 


2.3.2 用 户 的 登录 认证 


Windows 提供 了 NTLM(NT LAN Manager) 和 Kerberos, 前 者 主要 应 用 于 Windows 
Server 的 工作 组 (workgroup) 环 境 , 后 者 主要 用 于 Windows Server 的 域 (domain) 环 境 。 

1. NTLM 

NTLM 使 用 了 基于 挑战 /应 答 (challenge/response) 机 制 的 鉴别 方法 。 在 该 机 制 中 , 客 
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户 端 能 够 在 不 发 送 自己 用 户 密码 给 服务 器 的 情况 下 实现 用 户 的 身份 鉴别 。NTLM 通常 由 
协商 (negotiation) ,挑战 (challenge) 和 鉴别 (authentication) 三 类 消息 组 成 。NTLM 身份 鉴 
别 机 制 的 基本 原理 如 图 2-12 所 示 ,主要 认证 过 程 如 下 。 


Authentication for user authentication 
has been passed 






DUser Name(Plain Text) 


@Challenge(Plain Text) 


人 BChallenge(Encrypted by 
Clients password hash) 









PR ee i 
Server OAuthentication for user authentication Client 
has been passed 


图 2-12 NTLM 身份 鉴别 机 制 的 基本 原理 


Q@ 用 户 通过 输入 Windows 账户 的 用 户 名 和 密码 登录 客户 端 主机 。 在 登录 之 前 ,客户 
端 计算 输入 密码 的 Hash 值 ,并 保存 在 本 地 缓存 中 ,同时 将 原始 密码 丢弃 。 客 户 端 用 户 在 成 
功 登 录 Windows 后 ,如 果 要 访问 服务 器 资源 ,需要 向 对 方 发 送 一 个 请 求 报 文 。 其 中 ,用 户 在 
登录 客户 端 时 使 用 的 用 户 名 以 明文 形式 包含 在 该 请 求 报 文中 。 

@ 服务 器 在 接收 到 请 求 报 文 后 ,生成 一 个 16 位 的 随机 数 ,这 个 随机 数 被 称 为 
Challenge 或 者 Nonce。 服 务 器 在 将 该 Challenge 发 送 给 客户 端 之 前 先 将 其 保存 起 来 。 
Challenge 也 是 以 明文 的 形式 发 送 的 。 

@ 客户 端 在 接收 到 服务 器 返回 的 Challenge 后 ,用 在 步骤 中 中 保存 的 密码 Hash 值 对 
其 加 密 ,然后 再 将 加 密 后 的 Challenge 发 送 给 服务 器 。 

@ 服务 器 接收 到 客户 端 发 送 回来 的 加 密 后 的 Challenge 后 ,会 向 域 控 制 器 (Domain 
Controller,DC) 发 送 针对 客户 端的 验证 请 求 报 文 。 该 请 求 报 文 主要 包含 三 方面 的 内 容 : 客 
户 端 用 户 名 ,原始 的 Challenge 和 经 客户 端 密码 Hash 值 加 密 的 Challenge。 

@@ 和 @ DC 根据 用 户 名 获取 该 账户 的 密码 Hash 值 ,对 原始 的 Challenge 进行 加 密 。 
如 果 加 密 后 的 Challenge 和 服务 器 发 送 的 一 致 , 则 意味 着 用 户 拥有 正确 的 密码 ,验证 通过 ; 
否则 验证 失败 。DC 将 验证 结果 发 给 服务 器 ,并 最 终 反馈 给 客户 端 。 

2. Kerberos 

Kerberos 协议 是 MIT( 麻 省 理工 学 院 ) 开 发 的 基于 TCP/IP 网 络 设计 的 可 信 第 三 方 认 
证 协议 , 它 是 目前 分 布 式 网 络 计算 环境 中 应 用 最 为 广泛 的 认证 协议 。Kerberos 工作 在 
Client/Server 模式 下 ,利用 可 信赖 的 第 三 方 KDC(Key Distribution Center, 密 钥 分 配 中 心 ) 
实现 用 户 身份 认证 。 在 认证 过 程 中 ,Kerberos 使 用 对 称 密 钥 加 密 算法 ,提供 了 计算 机 网 络 
中 通信 双方 之 间 的 身份 认证 。 
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设计 Kerberos 的 目的 是 解决 分 布 式 网 络 环境 中 用 户 访问 网 络 资源 时 的 安全 问题 。 
Kerberos 的 安全 性 不 依赖 于 用 户 端 计算 机 或 者 要 访问 的 主机 (如 服务 器 ), 而 是 依赖 于 
KDC。Kerberos 协议 中 每 次 通信 过 程 都 有 3 个 通信 参与 方 : 需要 验证 身份 的 通信 双方 和 一 
个 双方 都 信任 的 第 三 方 KDC。 将 发 起 认证 服务 的 一 方 称 为 客户 端 ,客户 端 需要 访问 的 对 象 
称 为 服务 器 端 。 在 Kerberos 中 ,客户 端 是 通过 向 服务 器 端 提 交 自 己 的 “凭据 ”(Ticket) 来 证 
明 自 己 身份 的 ,该 凭据 是 由 KDC 专门 为 客户 端 和 服务 器 端 在 某 一 阶段 内 通信 而 生成 的 。 
Kerberos 保存 一 个 它 的 客户 端 及 密 钥 的 数据 库 , 这 些 密 钥 是 KDC 与 客户 端 之 间 共 享 的 ,是 
不 能 被 第 三 方 知道 的 。 

由 于 Kerberos 是 基于 对 称 加 密 算法 来 实现 认证 的 ,这 就 涉及 加 密 密 钥 对 的 产生 和 管理 
问题 。 在 Kerberos 中 会 对 每 一 个 用 户 分 配 一 个 密 钥 对 ,如 果 网 络 中 存在 N 个 用 户 , 则 
Kerberos 系统 会 保存 和 维护 N 个 密 钥 对 。 同 时 ,在 Kerberos 系统 中 只 要 求 使 用 对 称 密码 ， 
而 没有 对 具体 算法 和 标准 做 限定 ,这样 便于 Kerberos 协议 的 推广 和 应 用 。 

Kerberos 系统 认证 过 程 示意 图 如 图 2-13 所 示 , 下 面 介 绍 Kerberos 的 基本 认证 过 程 。 


密 钥 分 配 中 心 (KDC) 














1 数据 库 
四 ，、[ 村 所 分机 服务 光 
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OO J 认证 服务 器 ”| 一 | 
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资源 服务 器 
2-13 ”Kerberos 系统 认证 过 程 示 意图 


@O 客户 端 在 需要 访问 某 一 资源 服务 器 时 ,首先 需要 向 票据 分 配 服 务 器 (Ticket 
Granting Server,TGS) 申 请 本 次 访问 所 需要 的 票据 (ticket) 。 该 访问 请 求 以 明文 方式 发 给 
认证 服务 器 (Authentication Server,AS) ,请 求 的 主要 内 容 包含 客户 端 名 称 ( 登 录 操 作 系 统 
时 使 用 的 用 户 账号 名 称 ) 和 资源 服务 器 名 称 等 认证 信息 。 在 KDC 中 ,由 AS 为 用 户 提供 身 
份 认证 ,AS 将 用 户 密 钥 保 存在 KDC 的 数据 库 中 。 

@ AS 验证 客户 端的 真实 性 访问 权限 后 ,以 证 书 (credential) 作 为 应 答 ,证 书 中 包含 访问 
TGS 的 票据 和 用 户 与 TGS 间 的 会 话 密 钥 。 其 中 ,会 话 密 钥 通 过 用 户 的 密 钥 加 密 后 传输 。 

@ 客户 端 解密 得 到 访问 TGS 的 票据 和 用 户 与 TGS 之 间 通 信 的 会 话 密 钥 ,然后 利用 访 
问 TGS 的 票据 向 TGS 申请 访问 资源 服务 器 所 需要 的 票据 。 该 申请 包括 TGS 的 票据 和 一 
个 带 有 时 间 戳 的 认证 符 Cauthenticator) 。 认 证 符 通过 用 户 与 TGS 之 间 的 会 话 密 钥 加 密 。 

@ TGS 从 票据 中 取出 会 话 密 钥 ,解密 得 到 认证 符 , 并 验证 认证 符 中 时 间 戳 的 有 效 性 ， 
从 而 确定 用 户 的 请 求 是 否 合法 。TGS 确认 用 户 的 合法 性 后 ,生成 所 要 求 的 资源 服务 器 的 访 
问 票 据 ,票据 中 包含 有 新 产生 的 用 户 与 资源 服务 器 之 间 的 会 话 密 钥 。TGS 将 资源 服务 器 的 
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票据 和 会 话 密 钥 传 回 给 客户 端 。 

@ 客户 端 向 资源 服务 器 提交 资源 服务 器 的 访问 票据 和 用 户 新 产生 的 带 有 时 间 戳 的 认 
证 符 。 认 证 符 通过 用 户 与 资源 服务 器 之 间 的 会 话 密 钥 进行 加 密 。 

@ 资源 服务 器 从 票据 中 取出 会 话 密 钥 ,解密 得 到 认证 符 , 取 出 时 间 蕉 并 检验 有 效 性 。 
然后 向 客户 端 返回 一 个 带 有 时 间 戳 的 认证 符 , 该 认证 符 通过 用 户 与 资源 服务 器 之 间 的 会 话 
密 钥 进行 加 密 。 据 此 ,客户 端 可 以 验证 资源 服务 器 的 合法 性 。 

至 此 ,双方 完成 了 身份 认证 ,并 拥有 了 会 话 密 钥 。 在 此 后 的 操作 过 程 中 ,数据 传输 将 此 
以 会 话 密 钥 进 行 加 密 。 因 为 从 TGS 获得 的 票据 是 有 时 间 标 记 的 ,所 以 客户 端 可 以 用 这 个 票 
据 在 一 段 时 间 内 请 求 访问 相应 的 资源 ,而 不 要 求 再 次 认证 。 

Kerberos 将 用 户 身 份 认证 集中 到 了 AS 上 ,在 开放 网 络 中 提供 客户 端 与 资源 服务 器 之 
间 的 相互 认证 ,并 通过 会 话 密 钥 对 通信 进行 加 密 。 

需要 说 明 的 是 ,从 Windows Server 2000 开始 默认 的 认证 协议 为 Kerberos, NTLM 逐 
步 被 Kerberos 所 替代 。 


2.3.3 账户 密码 的 安全 


在 Windows 操作 系统 中 ,用 户 账 户 的 安全 管理 使 用 了 安全 账户 管理 器 (Security 
Account Manager,SAM) 的 机 制 ,实现 对 SAM 文件 的 管理 是 确保 Windows 系统 账户 安全 
的 基础 。 

1. SAM 文件 的 存放 位 置 

SAM 是 Windows 的 用 户 账户 数据 库 , 所 有 系统 用 户 的 账户 名 称 和 对 应 的 密码 等 相关 
信息 都 保存 在 这 个 文件 中 。 其 中 ,用 户 名 和 口令 经 过 Hash 变换 后 以 Hash 列表 形式 保存 在 
“%SystemRoot\system32\config” 文 件 夹 下 的 SAM 文件 中 。 在 注册 表 中 ,SAM 文件 的 数 
据 保 存在 “HKEY_LOCAL_MACHINE\SAM\SAM” 和 “HKEY_LOCAL_MACHINE\ 
Security\SAM” 分 支 下 ,默认 情况 下 被 隐藏 。 

由 于 SAM 文件 的 重要 性 ,系统 默认 会 对 SAM 文件 进行 备份 。 对 于 Windows Vista 之 
前 的 系统 ,SAM 备份 文件 存放 在 "%SystemRoot%\repair” 文 件 夹 下 。 对 于 Windows Vista 
及 其 之 后 的 系统 ,SAM 备份 文件 存放 在 “%SystemRoot%\system32\config\RegBack” 文 件 
夹 下 。 

2. 获取 SAM 文件 的 内 容 

在 Windows 操作 系统 启动 后 , 因 SAM 文件 开始 被 系统 调用 而 无 法 直接 复制 ,但 可 以 
复制 其 备份 文件 ,或 者 使 用 “reg save hklm\sam sam. hive” 命 令 将 SAM 文件 备份 出 来 。 再 
利用 一 些 工具 软件 来 破解 SAM 文件 的 内 容 ,常用 的 工具 软件 有 LC5、10phtCrack、 
WMICrack、SMBCrack 等 。 

当 用 户 忘记 了 Windows 的 登录 密码 时 ,可 以 先进 入 Windows 安全 模式 或 借助 
Windows PE 工具 进入 系统 ; 然后 删除 系统 盘 目 录 下 的 SAM 文件; 最 后 重新 启动 系统 时 可 
重 置 Windows 的 登录 密码 。 也 可 以 使 用 第 三 方 工具 直接 恢复 密码 ,如 PasswareKit5. 0、 深 
山 红 叶 工 具 箱 自 带 的 密码 恢复 工具 等 。 
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2.3.4 权限 管理 


一 般 来 说 ,权限 管理 过 程 实际 上 就 是 为 某 个 资源 指定 安全 主体 (用 户 或 组 ) 可 以 拥有 怎 
样 的 操作 的 过 程 。 权 限 管 理 可 以 理解 为 : 谁 (用 户 ) 能 够 对 什么 (资源 ) 进 行 哪些 (权限 ) 操 
作 。 出 于 安全 要 求 , 针 对 不 同 的 应 用 ,需要 为 相应 的 用 户 分 配 不 同 的 权限 。 权 限 逻 辑 配 合 业 
务 逻 辑 , 即 权限 管理 以 为 业务 逻辑 提供 服务 为 目标 。 

1. 安全 标识 符 

安全 标识 符 (Security Identifiers,SID) 是 标识 用 户 、 组 和 计算 机 账户 的 唯一 的 号 码 。 在 
第 一 次 创建 用 户 账户 时 ,系统 会 给 每 一 个 账户 分 配 一 个 唯一 的 SID。Windows 内 部 进程 将 
引用 账户 的 SID 而 不 是 账户 的 用 户 或 组 名 。 如 果 创 建 了 一 个 账户 后 再 将 其 删除 ,然后 再 创 
建 一 个 同名 账户 , 则 新 账户 将 不 具有 授权 给 前 一 个 同名 账户 的 权力 或 权限 ,原因 是 该 后 建 的 
账户 与 前 一 个 账户 具有 不 同 的 SID 号 。 

(1) SID 的 作用 。 用 户 通 过 身份 验证 后 ,登录 进程 会 给 其 分 配 一 个 访问 令 牌 ,该 令 牌 相 
当 于 用 户 访问 系统 资源 的 票证 。 当 用 户 试图 访问 系统 资源 时 ,将 访问 令 牌 提供 给 操作 系统 ， 
然后 操作 系统 检查 用 户 要 访问 对 象 上 的 访问 控制 列表 。 如 果 用 户 被 允许 访问 该 对 象 ,操作 
系统 将 会 分 配给 该 用 户 适当 的 访问 权限 。 

访问 令 牌 是 用 户 在 通过 验证 的 时 候 由 登录 进程 提供 ,所 以 改变 用 户 的 权限 需要 注销 后 
重新 登录 ,以 便 重新 获取 访问 令 牌 。 

(2) SID 的 组 成 。SID 用 于 鉴别 用 户 账 户 的 唯一 性 ,一 个 完整 的 SID 包括 以 下 几 方 面 。 

Q@ 用 户 和 组 的 安全 描述 。 

@ 48 位 的 颁发 机 构 (ID authority) 。 

@ 修订 版 本 。 

@ 可 变 的 子 验 证 值 (variable sub-authority values) 。 

下 面 以 Windows 中 一 个 重要 的 SID 即 S-1-5-21-310440588-250036847-580389505-500 
为 例 进行 介绍 。 其 中 ,第 一 项 S 表示 该 字符 串 是 SID; 第 二 项 是 SID 的 版 本 号 ,1 表示 是 
Windows 2000 操作 系统 ; 第 三 项 是 标识 符 的 颁发 机 构 (identifier authority) ,对 于 Windows 
2000 内 的 账户 ,该 值 为 5; 然后 表示 一 系列 的 子 颁发 机 构 ,前 面 几 个 是 标识 域 的 ,最 后 一 个 
标识 域内 的 账户 和 组 ; 最 后 一 项 为 500, 说 明 是 系统 自 建 的 内 置 管理 员 账户 Administrator 
(Guest 账户 的 值 为 501 等 ) 。 

在 注册 表 的 “HKEY_LOCAL_MACHINE\SAM\SAM\Domains\ Builtin\ Aliases\ 
Members” 中 保存 着 本 地 账户 的 所 有 SID 列表 。 

2. 访问 控制 列表 (ACL) 

访问 控制 列表 (Access Control Lists,ACL) 几 乎 应 用 于 所 有 的 授权 访问 系统 中 ,用 于 判 
断 某 一 账户 是 否 对 指定 的 资源 具有 访问 权限 。 在 ACL 中 ,每 一 个 用 户 或 组 都 对 应 一 组 访 
问 控制 项 (Access Control Entry, ACE)。 在 授权 访问 系统 中 ,可 以 将 节点 分 为 资源 节点 和 
用 户 节点 两 大 类 ,其 中 资源 节点 提供 服务 或 数据 ,用 户 节点 则 访问 资源 节点 所 提供 的 服务 与 
数据 。ACL 的 主要 功能 为 : 一 方面 保护 资源 节点 ,阻止 非法 用 户 对 资源 节点 的 访问 ; 另 一 
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方面 限制 特定 的 用 户 节点 对 资源 节点 的 访问 权限 。 

ACL 的 访问 规则 是 : 当 某 一 用 户 要 访问 某 一 资源 或 调用 某 一 服务 时 ,将 从 ACL 的 开 
始 语句 中 逐条 进行 匹配 ,如 果 有 一 条 匹配 成 功 ,将 结束 匹配 操作 ,并 转向 相应 的 资源 访问 或 
服务 调用 过 程 ; 如 果 所 有 语句 都 没有 成 功 匹配 , 则 访问 请 求 将 被 拒绝 。 

3. 权限 管理 设置 原则 

在 Windows 中 ,针对 权限 的 管理 有 4 项 基本 原则 : 拒绝 优 于 允许 原则 、 权 限 最 小 化 原 
则 、 权 限 累 加 原则 和 权限 继承 性 原则 。 

(1) 拒绝 优 于 允许 原则 。 拒 绝 优 于 允许 原则 是 指 当 同一 用 户 分 属于 不 同 组 时 ,如 果 在 
不 同 组 中 为 该 用 户 设 置 了 不 同 的 权限 , 则 拒绝 权限 优先 于 允许 权限 。 例 如 ,用 户 wangqun 
同时 属于 jspi 和 njust 两 个 不 同 的 组 。 针 对 某 一 资源 ,在 jspi 组 中 为 用 户 wangqun 分 配 了 
“ 写 人 ”权限 ; 而 在 njust 组 为 用 户 wangqun 分 配 了 * 拒 绝 写 人 ”权限 。 根 据 拒 绝 优 于 允许 原 
则 ,用户 wangqun 对 该 资源 实际 拥有 的 权限 是 “拒绝 写 入 ”。 

(2) 权限 最 小 化 原则 。 出 于 安全 考虑 ,尽量 让 用 户 不 能 访问 或 不 必要 访问 与 自己 无 关 
的 资源 ,或 者 不 能 对 指定 的 资源 进行 越权 操作 。 

(3) 权限 累加 原则 。 针 对 某 一 资源 ,假设 用 户 wangqun 在 jspi 组 中 拥有 “ 读 取 ” 权 限 ; 
而 在 njust 中 拥有 “ 写 入 ”权限 。 根 据 “ 权 限 累加 原则 ”, 用 户 wangqun 实际 对 该 资源 拥有 的 
权限 是 “ 读 取 十 写 人 ”。 

(4) 权限 继承 性 原则 。 假 设 在 Data 目录 下 同时 存在 Datal .Data2 、 Data3…… 多 个 子 
目录 ,现在 需要 对 Data 目录 及 其 下 的 子 目录 均 设 置 wangqun 用 户 拥有 “ 写 入 ”权限 ,根据 
权限 继承 性 原则 ,只 需要 对 Data 目录 设置 即 可 ,其 下 所 有 子 目录 自动 继承 了 这 个 权限 的 
设置 。 

4. 账户 安全 防范 措施 

针对 不 同 的 用 户 和 组 账户 ,在 权限 设置 的 基础 上 ,还 可 以 利用 Windows 操作 系统 提供 
的 一 些 策略 对 其 安全 性 进一步 设置 ,以 防范 利用 用 户 和 组 账户 的 攻击 。 下 面 介绍 几 个 典型 
的 应 用 。 

(1) 更 改 密码 复杂 度 。 首 先 要 启动 “密码 必须 符合 复杂 性 要 求 " 设 置 ,同时 在 设置 密码 
时 遵循 : 口令 长 度 至 少 为 8 位 ,并 由 数字 、 大 小 写字 母 与 特殊 字符 组 成 ; 口令 中 不 允许 使 用 
admin、root、password 等 ; 口令 中 键盘 顺序 连接 字符 不 超过 3 个 ( 横 、 竖 排 )( 如 ASD、ZXC、 
QAZ 等 ) 等 。 

(2) 登录 失败 次 数 限制 。 合 理 设置 账户 锁定 策略 中 的 “账户 锁定 阅 值 ”和 “账户 锁定 时 
间 ”, 可 有 效 防止 对 操作 系统 的 尝试 性 登录 攻击 。 

(3) 重要 操作 的 权限 设置 。 打 开 如 图 2-14 所 示 的 “本 地 组 策略 编辑 器 ”管理 界面 ,在 
“用 户 权限 分 配 ” 列 表 中 可 以 对 一 些 重要 操作 的 权限 进行 设置 ,如 从 远程 系统 强制 关机 、 更 改 
系统 时 间 、 拒 绝 从 网 络 访问 这 台 计 算 机 、 从 网 络 访问 此 计算 机 等 。 
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图 2-14 用 户 权 限 分 配 操作 界面 


2.4 针对 进程 与 服务 的 攻防 


本 节 结 合 Windows 操作 系统 的 工作 特点 ,对 一 些 平时 容易 混淆 的 基本 概念 进行 介绍 ， 
同时 结合 其 实现 对 安全 性 进行 必要 的 分 析 。 


2.4.1 进程 .线程 程序 和 服务 的 概念 


1. 基本 概念 

(1) 进程 。 进 程 (process) 是 正在 运行 的 程序 的 实例 ,是 计算 机 中 的 程序 关于 某 数 据 集 
合 上 的 一 次 运行 活动 ,是 系统 进行 资源 分 配 和 调度 的 基本 单位 。 例 如 ,在 计算 机 上 打开 了 
QQ 就 启动 了 一 个 进程 。 

(2) 线程 。 线 程 (threads) 是 进程 的 一 部 分 ,有 时 也 称 为 轻 量 级 进程 (Light Weight 
Process,LWP) ,是 程序 执行 流 的 最 小 单元 。 例 如 ,在 QQ 这 个 进程 中 ,传输 文字 启动 一 个 线 
程 ,传输 语音 启动 了 一 个 线程 ,弹出 对 话 框 又 启动 了 一 个 线程 。 

(3) 程序 。 程 序 (program) 是 一 组 可 执行 指令 的 集合 ,是 指 为 了 得 到 某 种 结果 而 可 以 由 
计算 机 等 具有 信息 处 理 能 力 的 装置 执行 的 代码 化 指令 序列 。 

(4) 服务 。 服 务 (service) 是 执行 指定 系统 功能 的 程序 、 例 程 ( 例 程 是 某 个 系统 对 外 提供 
的 功能 接口 或 服务 的 集合 ,如 操作 系统 的 API, 例 程 的 作用 类 似 于 函数 ) 或 进程 。 

2. 概念 之 间 的 区 别 

(1) 进程 与 线程 的 区 别 。 线 程 是 比 进程 更 小 的 处 理 模 块 。 进 程 和 线程 都 是 由 操作 系统 
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所 包含 的 程序 运行 的 基本 单元 ,系统 利用 该 基本 单元 实现 应 用 的 并 发 性 。 进 程 和 线程 的 区 
别 在 于 : 一 个 程序 至 少 有 一 个 进程 ,一 个 进程 至 少 有 一 个 线程 ; 进程 是 系统 所 有 资源 分 配 
时 的 一 个 基本 单位 ,拥有 一 个 完整 的 虚拟 空间 地 址 ,并 不 依赖 线程 而 独立 存在 ; 系统 在 运行 
时 会 为 每 一 个 进程 分 配 不 同 的 内 存 区 域 , 但 不 会 为 线程 分 配 ,线程 只 能 共享 资源 。 

(2) 进程 与 程序 的 区 别 。 程 序 是 一 组 指令 的 集合 ,是 静态 的 实体 ,没有 执行 的 含义 ; 而 
进程 是 一 个 动态 的 实体 ,有 自己 的 生命 周期 。 一 般 来 讲 ,一 个 进程 肯定 与 一 个 程序 相对 应 ， 
并 且 只 有 一 个 。 但 是 ,一 个 程序 既 可 以 有 多 个 进程 ,也 可 能 一 个 进程 都 没有 。 简 单 来 讲 , 进 
程 是 程序 的 运行 实体 ,只 有 程序 在 运行 时 才 会 产生 进程 。 

(3) 服务 与 进程 。 在 Windows 操作 系统 中 , 当 通过 网 络 提供 服务 时 ,服务 可 以 在 活动 
目录 中 发 布 。 可 以 设置 服务 是 否 与 操作 系统 一 起 启动 .一 起 关闭 。Windows 中 的 服务 支持 
自动 .手动 和 禁用 3 种 方式 。 服 务 和 进程 并 不 是 一 一 对 应 的 ,进程 是 当前 系统 使 用 中 调用 程 
序 , 包 括 一 些 dll 动态 链接 库 文件 的 实体 ,而 系统 服务 是 系统 当前 使 用 的 一 些 规则 ,服务 的 
打开 与 否 关系 到 系统 能 否 执行 某 些 特定 的 功能 。 


2.4.2 重要 系统 进程 


由 于 进程 的 重要 性 ,进程 也 成 为 网 络 攻防 者 的 主要 攻击 目标 。 在 网 络 攻防 中 ,不 仅 要 了 
解 用 于 攻击 的 “ 巴 ”, 也 要 掌握 用 于 防范 的 “ 盾 ”。 下 面 从 攻防 的 角度 来 介绍 几 个 重要 的 
Windows 进程 。 

1. Smss. exe 

Smss. exe(Session Manager Subsystem) 是 Windows 会 话 管 理 器 ,属于 Windows 操作 
系统 的 一 部 分 。 该 进程 调用 会 话 管理 子 系统 并 负责 操作 系统 的 会 话 , 决 定 着 系统 能 否 正常 
地 运行 。 正 常 的 Smss. exe 进程 文件 存放 在 Windows\System32 下 。 

如 果 系 统 中 出 现 了 多 个 Smss. exe 进程 ,而 且 占 用 的 CPU 资源 较 大 时 ,该 Smss. exe 可 
能 是 木马 程序 (如 Win32. ladex. a 木马 ) ,可 通过 手工 方式 清除 。 首 先 在 " Windows 资源 管 
理 器 ”中 确定 Smss. exe 进程 ,然后 通过 “打开 文件 位 置 " 找 到 所 在 的 文件 夹 后 将 其 删除 ,并 
消除 它 在 注册 表 和 WIN. ini 文件 中 的 相关 项 。 

2. Csrss. exe 

Csrss. exe 所 在 的 进程 文件 是 csrss 或 csrss. exe, 通 常 是 Windows 系统 的 正常 进程 。 
它 管 理 Windows 图 形 相关 任务 ,是 Windows 的 核心 进程 之 一 ,对 系统 的 正常 运行 起 着 关键 
作用 。 

在 正常 情况 下 ,Csrss. exe 位 于 Windows\System32 文件 夹 中 ,如 果 系 统 中 出 现 了 多 个 
Csrss. exe 文件 (其 中 一 个 位 于 Windows 文件 夹 下 ), 则 很 有 可 能 是 感染 了 Trojan. Gutta 或 
W32. Netsky. AB@mm 病毒 。 非 正常 的 Csrss. exe 是 一 种 蠕虫 病毒 , 它 会 以 Csrss. exe 为 
文件 名 复制 自己 的 副本 文件 到 Windows 目录 下 ,并 添加 下 面 的 注册 表 键 值 ,以 便 每 次 
Windows 启动 时 蠕虫 会 自动 运行 : HKEL_LOCAL_MACHINE\Software\ Microsoft\ 
Windows\CurrentVersion\Run\SystemSARS32, with value "C:WINNTcsrss. EXE", 

手工 删除 Csrss. exe 蠕虫 时 ,可 先 结束 Windows 根 目 录 下 的 Csrss. exe 进程 ,删除 病毒 
生成 的 . com 或 . exe 文件 ,并 删除 注册 表 中 病毒 的 启动 项 。 
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3. Services. exe 


Services. exe( Windows service controller) 是 Windows 操作 系统 的 一 部 分 ,用 于 管理 启 
动 和 停止 服务 。 该 进程 也 会 处 理 在 计算 机 启动 和 关机 时 运行 的 服务 。 该 程序 对 Windows 
系统 的 正常 运行 起 着 关键 作用 ,结束 该 进程 后 系统 会 重新 启动 。 
正常 的 Services. exe 应 位 于 Windows \ System32 文件 夹 中 ,不 过 也 可 能 是 W32. 
Randex. R( 储 存在 Windows \ System32 文件 夹 中 ) 和 Sober. P (储存 在 Windows\ 
Connection Wizard\Status 文件 夹 下 ) 木 马 。 该 木马 允许 攻击 者 访问 用 户 的 计算 机 ,窃取 密 
码 和 个 人 数据 。 

需要 说 明 的 是 , 当 使 用 计算 机 的 时 间 较 长 时 也 可 能 导致 Services. exe 占用 内 存 较 大 , 主 
要 原因 是 事件 日 志 (Event Log) 过 多 ,而 Services. exe 启动 时 会 加 载 事件 日 志 , 因 而 使 得 进 
程 占用 了 大 量 内 存 。 可 在 Windows 的 “事件 查看 器 ”中 查看 ,并 清除 日 志 记 录 。 

4. Svehost. exe 

Svchost. exe 是 Windows 系统 中 一 类 通用 的 进程 名 称 , 它 是 与 运行 动态 链接 库 dlls 的 
Windows 系统 服务 相关 的 。 在 计算 机 启动 时 ,Svchost. exe 检查 注册 表 中 的 服务 并 将 其 载 
入 并 运行 。Svchost. exe 程序 对 系统 的 正常 运行 是 非常 重要 ,而 且 不 能 被 结束 运行 。 

在 “Windows 任务 管理 器 ”中 经 常会 出 现 多 个 Svchost. exe 同时 运行 的 情况 ,正常 情况 
下 ,每 一 个 都 表示 该 计算 机 上 运行 的 一 类 基本 服务 。 例 如 ,在 Windows XP 操作 系统 中 ,一 
般 有 4 个 以 上 的 Svchost. exe 服务 进程 ,而 从 Windows 7 操作 系统 开始 则 更 多 。 

在 正常 情况 下 ,不 管 系统 中 运行 有 和 多少 个 Svchost. exe 进程 ,对 应 的 程序 都 会 位 于 
Windows\System32 文件 夹 中 。 如 果 在 其 他 文件 夹 中 发 现 了 Svchost. exe 文件 ,很 可 能 是 感 
染 了 病毒 。 


2.4.3 常见 的 服务 与 端口 


在 网 络 渗透 过 程 中 ,服务 是 主要 的 攻击 目标 ,任何 一 次 有 目的 的 攻击 都 必须 事先 确定 具 
体 的 服务 。 而 端口 是 实现 攻击 行为 的 主要 途径 , 即 攻击 数据 流 到 达 服 务 之 前 需要 经 过 的 人 
口 。 一 般 情 况 下 ,互联 网 中 常用 的 服务 与 端口 之 间 存 在 一 一 对 应 关系 。 

1. 常见 的 服务 

Windows 系统 提供 的 服务 较 多 , 表 2-1 列 出 了 网 络 安全 相关 的 常见 服务 及 其 功能 说 明 。 

表 2-1 网 络 安全 相关 的 常见 服务 及 其 功能 说 明 


























服务 名 称 功能 说 明 

pr 通知 所 选用 户 和 计算 机 有 关系 统 的 管理 级 报警 。 如 果 停 止 该 服务 ,使 用 
管理 报警 的 程序 将 不 会 收 到 报警 信息 

Application Management 提供 软件 安装 服务 ,如 软件 的 分 派 发行 .删除 等 

Automatic Updates 通过 Windows Update 下 载 和 安装 Windows 更 新 程序 

Computer Browser 维护 网 络 上 计算 机 的 更 新 列表 ,并 将 列表 提供 给 指定 计算 机 浏览 

ok 启用 在 事件 查看 器 查看 基于 Windows 的 程序 和 组 件 产 生 的 事件 日 志 消 
息 。 无 法 终止 该 服务 
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续 表 
服务 名 称 功能 说 明 
ICF(Internet Connection Firewall, Internet 连接 防火 墙 ) 是 用 一 段 “ 代 码 
墙 ”, 用 于 将 计算 机 和 Internet 分 隔 开 , 时 刻 检查 出 人 防火 墙 的 所 有 数据 
ICFVICS 包 , 决 定 拦截 或 是 放行 ; ICS(Internet Connection Sharing ,Internet 连接 共 
享 ) 为 家 庭 或 小 型 办 公 网 络 提供 网 络 地 址 转换 (NAT) ,以 保护 内 部 地 址 
和 名 称 解 析 , 防 止 受到 外 部 攻击 


传输 客户 端 和 服务 器 之 间 的 NET SEND 和 Alerter 服务 消息 。 此 服务 与 























Messenger Windows Messenger 无 关 

Plow edi 使 计算 机 在 极 少 或 没有 用 户 输入 的 情况 下 能 够 识别 并 适应 硬件 的 更 改 。 
终止 或 禁用 该 服务 ,会 造成 系统 的 不 稳定 

Re Remote Procedure Call(RPC) 提 供 终 节点 映射 程序 (endpoint mapper) 以 
及 其 他 RPC 服务 

RPC Locator Remote Procedure Call(RPC) Locator 用 于 管理 RPC 名 称 服 务 数据 库 

noe Rietiy 使 远程 用 户 能 够 修改 该 计算 机 上 的 注册 表 设 置 。 如 果 该 服务 被 终止 ,只 
有 该 计算 机 上 的 用 户 才 能 修改 注册 表 
支持 该 计算 机 通过 网 络 的 文件 ,打印 和 命名 管理 共享 。 如 果 停 止 该 服务 ， 

Server 这 些 功能 将 不 可 用 ; 如 果 服 务 被 禁止 ,任何 直接 依赖 于 该 服务 的 服务 将 
无 法 启动 





允许 远程 用 户 登 录 到 该 计算 机 并 运行 程序 ,并 支持 多 种 TCP/IP Telnet 
客户 ,包括 基于 UNIX 和 Windows 的 计算 机 

允许 多 位 用 户 连 接 并 控制 一 台 计 算 机 (一 般 为 服务 器 ) ,并且 在 远程 计算 
Terminal Services 机 上 显示 桌面 和 应 用 程序 。 这 是 远程 桌面 (包括 管理 员 的 远程 桌面 )、 快 
速 用 户 转换 、 远 程 协 助 和 终端 服务 器 的 基础 结构 

Wireless Zero Configuration | 为 用 户 的 IEEE 802. 11 无 线 网 络 适 配器 提供 自动 配置 服务 

Workstation 创建 和 维护 到 远程 服务 的 客户 端 网 络 连接 


Telnet 














2. 常见 的 危险 端口 

端口 (port) 是 指 设备 与 外 界 进行 通信 的 出 口 。 端 口 可 分 为 虚拟 端口 和 物理 端口 。 其 
中 ,虚拟 端口 指 设备 (计算 机 、 交 换 机 、 路 由 器 等 ) 内 部 的 端口 ,对 外 是 不 可 见 的 ,如 计算 机 中 
的 80 端口 .21 端口 .23 端口 等 ; 物理 端口 又 称 为 接口 ,对 外 是 可 见 的 ,如 计算 机 上 用 于 以 太 
网 连接 的 RJ45 网 口 .交换 机 或 路 由 器 上 的 光纤 接口 等 。 本 节 关 注 的 是 计算 机 内 部 的 端口 ， 
即 虚拟 端口 。 

端口 可 以 分 为 公认 端口 (熟知 端口 )、 注 册 端 口 和 动态 (私有 ) 端 口 3 种 类 型 。 

(1) 公认 端口 。 公 认 端 口 (Well Known Ports) 从 0 到 1023 ,用 于 一 对 一 地 绑 定 一 些 常 
用 的 服务 。 通 常 这 些 端口 的 通信 明确 表明 了 某 种 服务 的 协议 ,如 80 端口 明确 的 是 HTTP 
通信 协议 。 

(2) 注册 端口 。 注 册 端 口 (Registered Ports) 从 1024 到 49151 ,用 于 绑 定 一 些 服务 。 但 
与 公认 端口 不 同 的 是 ,这 种 绑 定 不 是 固定 的 。 一 些 系统 处 理 动态 端口 使 用 的 就 是 注册 端口 。 

(3) 动态 端口 。 动 态 端 口 (Dynamic and/or Private Ports) 从 49152 到 65535 ,由 于 这 类 
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端口 号 仅 在 客户 进程 运行 时 才 动 态 选择 ,因此 又 称 为 客户 端 使 用 的 端口 号 或 短暂 端口 号 。 
这 类 端口 号 留 给 客户 进程 选择 暂时 使 用 。 当 服务 器 进程 收 到 客户 进程 的 报 文 时 ,就 知道 了 
客户 进程 所 使 用 的 端口 号 ,因而 可 以 把 数据 发 送 给 客户 进程 。 通 信 结 束 后 ,刚才 已 使 用 过 的 
客户 端口 号 就 不 复 存 在 了 ,这 个 端口 号 就 可 以 供 其 他 客户 进程 使 用 。 

需要 说 明 的 是 ,从 1024 开始 到 65535 都 是 应 用 程序 开启 的 端口 ,木马 和 病毒 也 会 启用 


这 些 端口 。 


常见 的 危险 端口 有 21 端口 .80 端口 .135 端口 .139 端口 、445 端口 .3389 端口 .4489 端 
口 等 , 表 2-2 对 Windows 中 常见 的 危险 端口 及 其 危害 性 进行 了 说 明 。 


端口 号 


表 2-2 Windows 中 具有 危险 性 的 端口 及 其 功能 说 明 
功能 说 明 





21 


用 于 RTCS 远程 开启 Telnet 服务 ,不 依赖 于 IPC $ 是 否 开放 。 可 直接 访问 目标 的 
Windows 管理 规范 服务 (WMDI) ,该 服务 为 系统 重要 服务 ,系统 默认 是 开启 的 





123 


是 UDP 端口 ,用 于 Windows Time 服务 。 关 闭 UDP 123 端口 ,可 以 防范 某 些 蠕虫 病毒 





135 


主要 用 于 使 用 RPC(Remote Procedure Call, 远 程 过 程 调用 ) 协 议 并 提供 DCOM( 分 布 式 组 
件 对 象 模型 ) 服 务 ,通过 RPC 可 以 保证 一 台 计 算 机 上 运行 的 程序 可 以 顺利 地 执行 远程 计 
算 机 上 的 代码 





137/138 


是 UDP 端口 , 当 通过 网 上 邻居 传输 文件 时 使 用 的 端口 。 因 为 是 UDP 端口 ,所 以 对 于 攻击 
者 来 说 ,通过 发 送 请 求 很 容易 就 获取 到 目标 计算 机 上 的 相关 信息 ,有 些 信 息 是 直接 可 以 被 
利用 ,并 分 析 漏 洞 的 ,如 IIS 服务 。 另 外 ,通过 捕获 正在 利用 137 端口 进行 通信 的 数据 包 ， 
还 可 以 得 到 目标 计算 机 的 启动 和 关闭 时 间 , 这 样 就 可 以 利用 专门 的 工具 来 进行 攻击 。 当 
取消 对 “Microsoft 网 络 文件 和 打印 共享 ”及 “Microsoft 网 络 客 户 端 ” 的 选取 时 ,就 自动 关闭 
了 这 两 个 端口 





139 


是 为 “NetBIOS Session Service” 提 供 的 端口 ,主要 用 于 提供 Windows 文件 和 打印 机 共享 ， 
以 及 UNIX 中 的 SAMba 服务 。Windows 系统 在 局 域 网 中 进行 文件 共享 时 ,必须 启用 该 
服务 。139 端口 经 常 被 攻击 者 用 来 获取 远程 计算 机 的 用 户 名 和 密码 。 当 “禁用 TCP/IP 上 
的 NetBIOS” 时 ,可 自动 关闭 139 端口 





445 


一 般 为 数据 流通 端口 ,黑客 或 木马 多 通过 这 个 端口 对 计算 机 进行 控制 , Windows 2000 以 
后 的 版 本 都 会 自动 打开 这 个 端口 。 一 些 常见 病毒 (如 WannaCry 勒索 病毒 .冲击 波 、 震 功 
波 、 灾 飞 等 ) 都 是 从 这 个 端口 对 计算 机 进行 攻击 





1900 


UDP 端口 , 源 于 SSDP Discovery Service 服务 。 关 闭 该 端口 ,可 以 防范 DDoS 攻击 





3389 


又 称 为 Terminal Service( 终 端 服务 ) ,是 Windows 的 远程 桌面 服务 端口 。 攻 击 者 可 以 通过 
该 端口 直接 对 远程 计算 机 进行 控制 





4489 





是 一 个 远程 控制 软件 (Remote Administrator) 服 务 端 监听 的 端口 。 该 端口 对 应 的 服务 不 
能 算是 一 个 木马 程序 ,但 是 具有 远程 控制 功能 。 通 常 杀 毒 软件 是 无 法 查 出 该 服务 程序 的 ， 
所 以 当 启 用 该 端口 时 ,请 先 确定 该 服务 是 不 是 自己 开发 并 且 是 必需 的 ; 否则 将 其 关闭 


从 防范 攻击 的 角度 出 发 ,对 于 具体 的 Windows 服务 器 ,在 确定 了 提供 的 服务 后 ,可 以 将 
系统 默认 开放 的 其 他 服务 和 端口 关闭 ,关闭 默认 的 共享 空 链接 ,给 磁盘 设置 操作 权限 ,安全 
配置 IIS 服务 ,并 启用 相应 的 安全 策略 。 
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2.5 针对 日 志 的 攻防 


系统 日 志 记 录 了 系统 中 硬件 ,软件 和 系统 运行 状态 的 信息 ,同时 还 可 以 记录 和 监视 系统 
中 发 生 的 事件 。 计 算 机 系统 日 志 主 要 提供 系统 和 网 络 状态 的 信息 报告 。 入 侵 者 通过 删除 、 
算 改 系统 日 志 来 销毁 被 攻击 系统 上 的 操作 记录 ,最 终 躲避 系统 管理 员 和 专业 人 员 的 追踪 、 审 
计 和 取证 。 因 此 ,系统 日 志 对 于 保护 计算 机 系统 软 \ 硬 件 资源 具有 不 可 替代 的 作用 ,系统 日 
志 的 安全 直接 关系 到 计算 机 系统 的 安全 。 


2.5.1 Windows 日 志 概 述 


Windows 操作 系统 提供 了 应 用 程序 日 志 、 安 全 日 志 、 系 统 日 志 、FTP 日 志 、WWW 日 
志 、DNS 服务 器 日 志 等 涉及 系统 各 个 环节 的 信息 ,这 些 信息 都 以 文件 形式 存储 在 磁盘 上 , 保 
存 日 志 信 息 的 文件 称 为 日 志文 件 。 根 据 用 户 计算 机 上 开启 服务 的 不 同 , 日 志文 件 的 内 容 及 
攻防 者 的 关注 点 也 不 相同 。 

1. 日 志 的 功能 

操作 系统 的 日 志 是 一 种 非常 关键 的 服务 组 件 , 因 为 系统 日 志 通 常会 记录 下 一 些 操 作 内 
容 , 可 以 让 用 户 充分 了 解 自己 的 系统 运行 环境 ,这 些 信息 不 但 对 网 络 管理 人 员 非 常 有 用 ,而 
且 对 网 络 攻击 者 也 很 有 应 用 价值 。 例 如 , 当 攻 击 者 对 系统 进行 了 IPC 探测 时 ,系统 就 会 将 
攻击 者 使 用 的 IP、 时 间 、 用 户 名 等 信息 记录 在 安全 日 志 中 。 又 如 , 当 攻 击 者 尝试 进行 了 FTP 
探测 后 ,攻击 者 的 IP、 时 间 、 用 户 名 等 信息 将 记录 在 FTP 日 志 中 等 。 这 些 日 志 信息 ,对 于 系 
统管 理 员 来 说 是 了 解 安全 隐患 并 进行 系统 安全 加 固 的 依据 ,而 对 于 攻击 者 来 说 ,日 志 中 记录 


着 完整 的 攻击 行为 的 痕迹 。 
系统 日 志 、 应 用 程序 日 志和 安全 日 志 是 Windows 系统 提供 的 3 类 重要 上 日志。 具体 介绍 
如 下 。 


(1) 系统 日 志 。 跟 踪 各 种 系统 事件 并 记录 。 

(2) 应 用 程序 日 志 。 记 录 由 应 用 程序 或 系统 产生 的 事件 ,如 应 用 程序 产生 的 装载 动态 
链接 库 (dlD) 失 败 的 信息 都 将 被 记录 在 该 日 志 中 。 

(3) 安全 日 志 。 记 录 登 录 打开 或 关闭 网 络 、 改 变 访问 权限 、 系 统 启动 或 关闭 事件 ,以 及 
与 创建 ,打开 或 删除 文件 等 资源 使 用 相关 联 的 事件 。 

Windows 系统 有 许多 应 用 程序 的 活动 都 需要 进行 记录 。 对 于 大 多 数 长 时 间 不 间断 运 
行 的 服务 而 言 ,日 志 是 管理 员 了 解 系统 运行 情况 的 最 重要 途径 之 一 ,一 旦 有 问题 出 现 , 日 志 
也 是 发 现 和 定位 故障 的 第 一 手 资料 。 

需要 说 明 的 是 ,不 仅仅 Windows 操作 系统 提供 了 日 志 功 能 ,几乎 所 有 的 主流 操作 系统 、 
数据 库 .应 用 系统 都 提供 了 日 志 服务 。 

2. Windows 日 志 的 配置 与 查看 

Windows 系统 使 用 事件 日 志 (Event Log) 机 制 来 存储 记录、 浏览 和 维护 日 志 。 系 统管 
理 员 可 以 使 用 “事件 查看 器 ”获得 系统 和 应 用 程序 的 重要 信息 和 警告 信息 。 事 件 日 志 机 制 允 
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许 写 入 应 用 程序 的 信息 。 如 果 应 用 程序 出 现 问 题 ,应 将 错误 信息 写 人 事件 日 志 , 再 用 事件 查 
看 器 读 取 这 些 信息 。 

可 以 选择 “开始 一 设置 一 控制 面板 ~ 管理 工具 一 事件 查看 器 "选项 ,在 打开 如 图 2-15 所 
示 的 对 话 框 中 选择 并 查看 相关 的 日 志 信息 。 



































国 事件 查看 器 = 
文件 (F) ”操作 (A) 查看 (V) 帮助 (H) 
所 中 | 证 辆 [日 辕 
国事 4 查看 器 本 地 ) “ f 玫 :1490 接 作 
2 xu 日 区间 来源 任务 类 到 | - 
Ee dows 日 志 全 信息 。 2018-1-8 8:1.。 Micro-。 4672 特殊 登录 富 ”打开 保存 的 日 志 - 
国 应 用 得 序 由 信息 2018-1-8 8:1.。 Micro. 4624 登录 平 创建 自 定义 视图.… 
国 痊 信息。 2018-1-8 8:1.. Micro.. 4624 本 录 导入 自 定义 视图 .… 
目 seup 2018-1-8 8:1.。 Micro-， 4672 行 下 登录 清除 日志 让 
国 再 人 了 RE 前 昌 志 - 
目 转发 事件 内 信息 。 2018-1-8 8:1.. Micro.. 4672 ”特殊 登录 
4 吧 应 用 程序 和 服务 日 志 内 人 信息。 2018-1-8 81.。 Micro-， ”4624 登录 和 
国 ACEEventLog 全 信息 。 2018-1-8 8:1.、，Micro.。 ”4648 登录 租 坪 汪 . 
国 Internet Explorer 内 信息 。 2018-1-8 8:1.， Micro-， 4672 特殊 登录 辐 ” 梅 所 有 事件 另存 为.- 
国 Key Management S| 四 信息。 2018-1-8 81.， Micro.. 4624 登录 将 任务 附加 到 此 日 
b 国 Microsoft 内 信息 2018-1-8 8:1.. Micro.. 4672 特殊 登录 坦 看 上 
国 Microsoft Office Ale 上马 信 息 。 2018-1-8 8:1.. Micro.. 4624 要 录 MW 
国 Windows PowerShe | 人 信息 。 2018-1-8 8:1.，Micro.， 4672 特殊 登录 
EEC ||Afe 2018-1881. Micro. 4624 登录 -| 到 "天 




















图 2-15 Windows 7 操作 系统 提供 的 日 志 服务 


在 Windows Vista 之 前 ,系统 日 志文 件 存 放 在 "%systemroot%\system32\config” 文 件 
夹 下 ,文件 名 为 *. evt, 默认 大 小 为 512KB。 其 中 , SecEvent. EVT 为 安全 日 志文 件 ， 
SysEvent. EVT 为 系统 日 志文 件 ,AppEvent. EVT 为 应 用 程序 日 志文 件 。 

Windows Vista 及 之 后 的 系统 中 ,日 志文 件 存 放 在 “%systemroot%\system32\winevt\ 
logs” 文 件 夹 下 ,文件 名 为 * .evtx, 这 些 日 志文 件 在 注册 表 中 的 位 置 为 :“HKEY_LOCAL_ 
MACHINE\System\CurrentControlSet\Services\Eventlog”。 如 果 管理 员 将 日 志文 件 的 存 
放 位 置 进行 了 重 定向 ,可 以 在 Eventlog 下 面 的 子 项 中 查看 到 日 志 的 存放 目录 。 默 认 的 日 志 
文件 大 小 也 是 512KB, 如 果 超 出 会 报错 ,并 不 再 继续 记录 日 志 信息 。 如 果 要 修改 日 志文 件 
的 大 小 ,可 在 注册 表 “HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ 
Eventlog\Security” 中 对 应 的 每 个 日 志 的 maxsize 子 键 下 进行 修改 。 


2.5.2 目 志 分 析 
Windows 系统 日 志 记 录 了 由 系统 管理 员 设置 的 需要 进行 审计 的 事件 信息 ,系统 管理 员 
可 以 通过 事件 查看 器 工具 来 查看 ,也 可 以 作为 第 三 方 审 计 日 志 分 析 工 具 的 分 析 输 入 数据 源 。 
1. 事件 ID 


在 Windows 日 志 中 记录 了 大 量 的 操作 事件 ,为 了 方便 用 户 对 事件 的 管理 ,每 种 类 型 的 
事件 都 赋予 了 一 个 唯一 的 编号 : 事件 ID。 通 过 分 析 事 件 ID 可 以 发 现 影响 Windows 系统 安 
全 的 因素 ,还 可 以 通过 查询 ID 的 方式 快速 找到 需要 关注 的 日 志 报 警 信息 。 

在 Windows 系统 中 ,可 以 在 “事件 查看 器 "中 通过 查看 系统 日 志 的 “事件 ID” 来 查看 某 
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一 类 型 的 事件 。 例 如 ,如 果 在 系统 日 志 中 发 现 某 天 的 事件 ID 为 6005, 则 说 明 在 这 一 天 正常 
启动 了 Windows 系统 ; 如 果 发 现在 某 天 的 事件 日 志 中 出 现 了 ID 为 6006, 则 说 明 在 这 一 天 
出 现 过 非 正 常 关 机 行为 。 

需要 说 明 的 是 ,不 同 版 本 Windows 系统 的 事件 ID 不 尽 一 致 ,具体 使 用 时 可 查阅 版 本 的 
说 明 。 下 面 是 Windows Server 2008 系统 中 几 个 事件 ID 的 描述 。 


表 2-3 Windows Server 2008 系统 中 几 个 事件 ID 的 描述 


























事件 ID 事件 分 类 事件 描述 
5136 审计 目录 服务 访问 Active Directory 对 象 已 修改 
4634 审计 登录 事件 账户 被 注销 
5031 审计 对 象 访问 Windows 防火 墙 服务 阻止 一 个 应 用 程序 接收 网 络 中 的 入 站 连接 
4715 审计 政策 变化 对 象 上 的 审计 政策 (SACL) 已 经 更 改 
4672 审计 特权 使 用 给 新 登录 分 配 特 权 
5024 审计 系统 事件 Windows 防火 墙 服务 已 成 功 启动 


2. 日 志 分 析 实 例 
下 面 以 防火 墙 日 志 分 析 和 IIS 日 志 分 析 为 例 , 介 绍 Windows 系统 中 的 日 志 分 析 方 法 。 
(1) 防火 墙 日 志 分 析 。Windows 系统 自 带 的 防火 墙 日 志 一 般 位 于 “C:\Windows\ 
pfirewall. log” 文 件 夹 下 ,图 2-16 是 一 条 防火 墙 日 志 记 录 的 说 明 。 
0 936.04 OREN ey [| 0 4959 20 …… 
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记录 时 的 时 间 ”打开 的 连接 ”本 地 IP 地 址 。 远程 IP 地 址 人 
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图 2-16 ”防火墙 日 志 记录 的 说 明 


每 一 条 显示 Open 的 记录 都 对 应 一 条 显示 Close 的 记录 ,比较 两 条 记录 就 可 计算 出 本 次 
连接 所 持续 的 时 间 。 通 过 对 防火 墙 日 志 的 分 析 , 可 以 找 出 针对 本 地 主机 的 潜在 威胁 ,并 对 攻 
击 者 的 IP 进行 溯源 。 例 如 ,如 果 本 地 计算 机 是 一 台 Web 服务 器 ,但 接收 到 大 量 的 来 路 不 明 
的 非 80 端口 的 连接 尝试 ,就 可 能 遭受 到 远程 攻击 。 

需要 说 明 的 是 ,要 在 日 志 中 使 用 Windows 系统 自 带 的 防火 墙 功能 ,需要 在 Windows 自 
带 的 防火 墙 的 安全 日 志 选 项 中 选择 “记录 被 丢弃 的 数据 包 ” 和 “记录 成 功 的 连接 ”选项 。 

(2) IIS 日 志 分 析 。IISCInternet Information Services, 互 联网 信息 服务 ) 是 由 微软 公司 
提供 的 一 种 Web( 网 页 ) 服 务 组 件 ,其 中 包括 Web 服务 器 .FTP 服务 器 、NNTP 服务 器 和 
SMTP 服务 器 ,分 别 用 于 网 页 浏览 文件 传输 、 新 闻 服 务 和 邮件 发 送 等 服务 。 由 于 JS 的 安 
全 性 相对 较为 脆弱 ,所 以 针对 IIS 日 志 的 分 析 对 于 确保 信息 服务 的 安全 显得 非常 重要 。 

IIS 的 WWW 日 志 系 统 默 认 存放 在 “%Systemroot%system32\logfiles\w3svcl1” 文 件 夹 
下 ,默认 每 天 一 个 日 志 。 出 于 安全 考虑 ,在 具体 部 署 Web 服务 时 ,IIS 日 志 一 般 不 使 用 系统 
默认 的 存放 路 径 ,而 是 保存 在 存储 空间 较 大 的 非 系统 分 区 中 ,同时 只 允许 系统 管理 员 和 操作 
系统 本 身 具 有 完全 控制 的 权限 。 

从 系统 开发 的 角度 而 言 , 对 于 部 署 在 IIS 上 的 网 站 ,IIS 日 志 提 供 了 最 有 价值 的 信息 , 开 
发 人 员 可 以 通过 分 析 网 站 的 响应 情况 来 判断 网 站 是 否 存在 性 能 方面 的 问题 ,或 者 存在 哪些 
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需要 改进 的 地 方 。 

如 图 2-17 所 示 ,JS 日 志 中 记录 了 请 求 发 生 在 什么 时 刻 , 哪 个 客户 端 IP 访问 了 服务 端 
IP 的 哪个 端口 ,客户 端 工具 是 什么 类 型 .什么 版 本 ,请 求 的 URL 及 查询 字符 串 参 数 是 什么 ， 
请 求 的 方式 是 GET 还 是 POST ,请 求 的 处 理 结果 是 什么 样 的 (HTTP 状态 码 及 操作 系统 底 
层 的 状态 码 , 如 201 表示 请 求 成 功 且 服务 器 创建 了 新 的 资源 ,403 表示 服务 器 拒绝 请 求 ,404 
表示 服务 器 找 不 到 请 求 的 网 页 等 ) ,请 求 过 程 中 客户 端 上 传 了 多 少数 据 , 服 务 端 发 送 了 多 少 
数据 ,请 求 总 共 占 用 服务 器 多 长 时 间 ,等 等 。 
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图 2-17 IIS 日 志 显示 的 内 容 


由 于 JIS 日 志 提 供 的 内 容 非常 丰富 且 复 杂 ,不 利于 日 常 的 分 析 和 管理 ,所 以 出 现 了 一 些 
针对 IIS 日 志 的 分 析 工 具 , 如 利用 Log Parser 工具 可 以 将 日 志 以 表格 方式 显示 和 操作 。 对 
于 熟悉 数据 库 操作 的 系统 管理 员 ,也 可 将 IIS 日 志 导 入 到 SQL 数据 库 中 进行 查看 和 分 析 。 


2.5.3 日 志 管理 


对 系统 日 志 的 安全 管理 是 网 络 安全 的 一 个 重要 方面 。 只 有 解决 了 系统 日 志 的 安全 问 
题 ,才能 够 准确 地 利用 系统 日 志 的 信息 来 分 析 系 统 中 的 安全 问题 。 

1. 保护 日 志文 件 

出 于 安全 考虑 ,在 提供 重要 服务 的 系统 中 经 常 需要 将 日 志 单 独 保存 并 加 强 访问 管理 , 具 
体 可 通过 修改 日 志文 件 存放 文件 夹 (必须 在 NTFS 分 区 ) 的 访问 权限 来 实现 。 一 般 情况 下 ， 
对 于 “Everyone” 账 户 可 只 分 配对 日 志文 件 所 在 文件 夹 “ 读 取 ” 权 限 ,对 “System” 账 户 取 消 
“完全 控制 "和 “修改 ”权限 的 分 配 。 这 样 , 当 攻 击 者 试图 消除 Windows 日 志 时 ,就 会 被 拒绝 。 

Windows 系统 对 于 日 志 的 安全 保护 是 比较 脆弱 的 。 和 的 默认 管理 是 不 严 
格 的 ,任何 有 管理 员 权 限 的 用 户 都 可 以 轻易 地 对 系统 日 志 进 行 读 写 操 作 。 同 时 ,系统 本 身 的 
安全 漏洞 直接 威胁 到 系统 日 志 的 安全 “进入 系统 一 提升 权限 一 放置 后 门 一 清理 日 志 ” 是 网 
络 人 侵 的 基本 步 又。 在 这 一 过 程 中 ,攻击 者 一 旦 完成 了 入 侵 的 前 两 步 , 后 面 的 入 侵 操作 是 很 
容易 实现 的 ,结果 是 系统 无 法 恢复 对 于 入 侵 过 程 的 记录 和 审计 ,从 而 管理 员 难 以 发 现 和 准确 
定位 人 侵 的 行为 。 因 此 ,对 于 系统 日 志 的 安全 保护 ,重点 是 假设 一 旦 攻击 行为 已 经 成 功 完成 
了 前 两 步 操作 的 前 提 下 ,仍然 能 够 保护 系统 日 志 的 安全 。 为 实现 此 安全 目的 , 除 加 强 对 日 志 
文件 访问 账户 的 安全 管理 外 ,还 可 以 对 日 志文 件 进行 安全 备份 。 
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2. 设置 入 侵 检 测 系统 

由 于 攻击 者 容易 在 日 志文 件 中 留 下 操作 的 痕迹 ,所 以 管理 员 可 以 通过 设置 入 侵 检测 系 
统 (Intrusion Detection Systems,IDS) 规 则 ,建立 系统 受到 入 侵 时 的 特征 库 , 通 过 将 系统 运 
行情 况 与 该 特征 库 进行 比较 ,判定 是 否 有 入 侵 行为 发 生 。 入 侵 检 测 作为 一 种 “主动 防御 ”的 
检测 技术 ,具有 较 强 的 实时 防护 功能 ,可 以 迅速 提供 对 系统 、 网 络 的 攻击 的 实时 防护 和 对 用 
户 误 操作 的 实时 防护 ,在 检测 到 入 侵 企图 时 进行 拦截 或 提醒 管理 员 做 好 预防 。 





2.6 针对 系统 漏洞 的 攻防 


漏洞 是 系统 设计 和 开发 过 程 中 存在 的 缺陷 ,补丁 则 是 针对 已 发 现 漏洞 的 管理 ,漏洞 在 发 
现 后 未 被 修复 就 可 能 会 被 攻击 者 利用 。 


2.6.1 Windows 系统 漏洞 


Windows 系统 漏洞 也 称 为 安全 缺陷 , 即 Windows 操作 系统 本 身 存在 的 技术 缺陷 。 漏 
洞 的 存在 严重 威胁 着 Windows 系统 的 安全 ,漏洞 的 发 现 和 利用 成 为 网 络 攻防 学 习 的 重点 。 

1. 漏洞 与 漏洞 利用 

漏洞 是 指 在 一 个 信息 系统 的 硬件 、 软 件 或 固件 的 设计 、 实 现 、 配 置 \ 运 行 等 过 程 中 有 意 留 
下 或 无 意 中 产 生 的 一 个 或 若干 个 缺陷 , 它 会 导致 该 信息 系统 处 于 风险 中 。 漏 洞 挖掘 是 指 采 
用 一 定 的 技术 手段 去 发 现 、 分 析 和 利用 信息 系统 中 漏洞 的 过 程 。 

一 些 安 全 机 构 致 力 于 软件 漏洞 的 挖掘 和 分 析 研 究 ,发 现 了 Windows 系统 组 件 、 网 络 服 
务 及 第 三 方 软件 中 存在 的 大 量 漏洞 。 在 漏洞 发 现 后 如 何 处 置 曾经 成 为 软件 厂商 和 安全 机 构 
争执 的 焦点 。 软 件 厂商 认为 ,如 果 将 发 现 的 漏洞 公布 于 众 , 将 为 攻击 者 开发 基于 漏洞 的 攻击 
工具 和 制作 恶意 代码 提供 帮助 ; 而 安全 机 构 则 认为 ,公开 披露 漏洞 信息 可 以 使 企业 和 个 人 
能 够 更 好 地 保护 自己 的 系统 。 目 前 ,业界 达成 的 共识 是 : 在 研究 机 构 发 现 漏洞 后 将 漏洞 信 
息 提 交 给 厂商 ,在 厂商 提供 了 补丁 程序 后 再 进行 公布 。 然 而 ,目前 的 现状 是 一 些 研 究 机 构 在 
发 现 了 漏洞 后 没有 直接 提交 或 在 第 一 时 间 提 交 给 厂商 ,而 是 提供 了 黑客 组 织 ,成 为 黑客 组 织 
从 事 网 络 攻击 的 利器 。 还 有 一 种 普遍 现象 是 ,厂商 根据 研究 机 构 提 交 的 漏洞 信息 发 布 了 相 
关 的 补丁 程序 ,但 用 户 却 没有 及 时 安装 补丁 程序 对 漏洞 进行 修补 ,同样 成 为 攻击 者 实施 攻击 
的 目标 。 

零 日 (0day) 漏 洞 是 指 被 发 现 后 立即 被 恶意 利用 的 安全 漏洞 。 利 用 零 日 漏洞 的 攻击 主要 
是 基于 某 些 厂商 缺少 防范 意识 ,不 能 及 时 更 新 版 本 或 没有 及 时 提供 修复 的 补丁 程序 ,攻击 者 
快速 利用 漏洞 实施 对 存在 漏洞 系统 的 人 侵 。 零 日 漏洞 一 般 是 由 攻击 者 自己 挖掘 出 来 的 ,而 
存在 零 日 漏洞 的 系统 或 应 用 程序 的 开发 商 并 不 一 定 知 道 这 个 新 的 漏洞 ,从 而 无 法 提供 相应 
的 漏洞 补丁 程序 。 还 有 一 种 现象 是 : 就 算 软 件 厂 商 与 攻击 者 同时 发 现 了 某 个 漏洞 ,但 是 软 
件 厂商 发 布 漏洞 补丁 程序 必须 经 过 “开发 一 测试 发布" 这 3 个 阶段 ,在 这 种 基于 速度 的 赛 
跑 中 ,软件 厂商 一 般 不 具有 优势 。 
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通过 对 漏洞 的 利用 ,攻击 者 可 以 实现 本 地 权限 的 提升 和 远程 代码 的 执行 。 利 用 远程 执 
行 代码 的 漏洞 ,攻击 者 可 以 通过 网 络 发 起 远程 攻击 ,直接 获取 目标 主机 的 访问 权限 并 进入 系 
统 。 然 后 ,攻击 者 再 利用 本 地 权限 提升 型 漏洞 ,将 获得 的 受 限 用 户 权限 提升 到 管理 员 权 限 ， 
进而 获得 目标 主机 的 完整 控制 权 。 

2. 通用 漏洞 披露 库 

20 世纪 90 年 代 , 美 国 国家 标准 协会 开展 了 操作 系统 安全 研究 项 目 。 相 关 研 究 机 构 对 
大 型 系统 漏洞 进行 收集 ,并 根据 漏洞 发 现时 间 、 漏 洞 产生 的 原因 和 漏洞 所 处 的 位 置 进行 了 简 
单 的 分 类 。 目 前 ,主要 有 CVE、NVD,、SecurityFocus、OSVDB 等 几 种 针对 漏洞 的 分 类 管理 
Ee: 

下 面 主 要 介绍 CVE(Common Vulnerability Exposures, 通 用 漏洞 列表 )。CVE 是 由 美 
国 MITRE 公司 负责 维护 ,全 球 公认 的 安全 漏洞 索引 标准 ,该 项 目 将 已 暴露 并 引起 广泛 认同 
的 安全 漏洞 进行 编号 ,定期 对 漏洞 列表 进行 发 布 , 方 便 漏洞 信息 的 共享 。 

CVE 漏洞 库 为 每 个 确认 的 公开 披露 的 漏洞 提供 CVE 编号 ,也 会 提供 一 段 简单 的 漏洞 
描述 信息 ,而 这 个 CVE 编号 就 作为 安全 领域 标识 该 漏洞 的 标准 索引 号 。 例 如 ,CVE-2012- 
0158 是 Microsoft Office 2003 SP3、2007 SP2 和 SP3,SQL Server 2000 SP4、2005 SP4 及 
2008 SP2 、SP3、R2 等 程序 中 所 暴露 出 来 的 漏洞 , 即 MSCOMCTL. OCX RCE 漏洞 。 该 漏洞 
是 由 于 程序 通用 控件 中 MSCOMCTL. OCX 的 ListView、ListView2、TreeView 和 
TreeView2 ActiveX 控件 对 于 范围 判断 所 产生 的 逻辑 疏忽 而 形成 的 缓冲 区 溢出 问题 ,其 所 
造成 的 危害 是 破坏 系统 栈 并 使 之 溢出 。 


2.6.2 典型 的 利用 漏洞 的 攻击 过 程 


针对 具体 的 目标 主机 ,一 个 典型 的 利用 漏洞 的 攻击 过 程 包括 漏洞 扫描 、 攻 击 工具 准备 和 
发 起 攻击 3 个 过 程 。 

1. 漏洞 扫描 

当 被 攻击 的 目标 主机 确定 后 ,漏洞 扫描 是 实现 攻击 的 第 一 步 。 漏 洞 扫描 的 目的 就 是 探 
测 并 发 现 目 标 主机 中 针对 具体 操作 系统 、 网 络 服务 与 应 用 程序 中 存在 的 安全 漏洞 。 攻 击 者 
从 漏洞 扫描 的 报告 中 可 以 发 现 可 被 利用 的 漏洞 .进而 发 起 攻击 ,获得 目标 主机 的 访问 控 
制 权 。 

一 般 情 况 下 ,存在 安全 漏洞 的 操作 系统 、 网 络 服务 和 应 用 程序 ,对 某 些 网 络 请 求 报 文 的 
应 答 , 与 已 经 安装 了 补丁 程序 的 安全 系统 之 间 存 在 一 定 的 差别 。 漏 洞 扫描 技术 正 是 利用 了 
这 些 差 别 来 识别 目标 主机 是 否 存 在 特定 安全 漏洞 的 。 漏 洞 扫描 器 一 般 基 于 已 经 公布 的 系统 
漏洞 信息 库 ( 如 CVE) ,采用 模拟 攻击 的 形式 对 网 络 上 目标 主机 可 能 存在 的 已 知 安全 漏洞 进 
行 逐 项 检查 ,扫描 结果 以 分 析 报 告 形式 提供 。 一 个 完整 的 漏洞 扫描 器 通常 由 以 下 几 部 分 
组 成 。 

(1) 漏洞 数据 库 。 漏 洞 数据 库 包 括 漏洞 的 具体 信息 .漏洞 扫描 评估 脚本 安全 漏洞 危害 
评分 等 信息 ,该 漏洞 数据 库 会 在 新 的 漏洞 被 公布 后 及 时 更 新 。 漏 洞 数据 库 一 般 需要 与 CVE 
保持 兼容 。 

(2) 扫描 引擎 模块 。 扫 描 引 擎 模块 是 漏洞 扫描 器 的 核心 部 件 。 一 般 的 扫描 器 同时 提供 
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了 主机 扫描 、 端 口 扫描 、 操 作 系 统 扫 描 和 网 络 服务 探测 等 功能 。 

(3) 用 户 控制 台 。 通 过 控制 台 , 用 户 可 以 定义 被 扫描 对 象 并 设置 相关 参数 。 对 被 扫描 
对 象 发 送 扫描 用 探测 数据 包 ,并 从 接收 到 的 被 扫描 对 象 返回 的 应 答 数 据 包 中 提取 漏洞 信息 ， 
然后 与 漏洞 数据 库 中 的 漏洞 特征 进行 比 对 ,以 判断 目标 对 象 是 否 存在 漏洞 。 

(4) 扫描 进程 控制 模块 。 扫 描 进程 控制 模块 用 于 监控 扫描 进程 的 任务 进展 情况 ,并 将 
当前 扫描 的 进度 和 结果 信息 通过 用 户 控 制 台 展 示 给 用 户 。 

(5) 结果 存储 与 报告 生成 模块 。 结 果 存 储 与 报告 生成 模块 利用 漏洞 扫描 得 到 的 结果 自 
动 生 成 扫描 报告 ,并 告知 用 户 在 哪些 目标 系统 上 发 现 了 哪些 安全 漏洞 。 

2. 攻击 工具 准备 

根据 漏洞 扫描 结果 ,通过 查找 漏洞 信息 库 , 可 以 确定 被 攻击 主机 上 存在 的 漏洞 代码 。 之 
后 ,对 于 具有 高 超 计算 机 语言 开发 能 力 的 用 户 , 可 以 针对 具体 的 漏洞 来 开发 攻击 工具 。 然 
而 ,目前 大 量 的 攻击 者 是 根据 已 发 现 的 漏洞 直接 到 一 些 网 上 安全 社区 中 寻找 针对 特定 安全 
漏洞 的 攻击 代码 资源 。 典 型 的 攻击 代码 有 Metasploit、Exploit-db、Securityfocus 等 。 例 如 ， 
针对 MS05-039 服务 漏洞 ,攻击 者 可 以 在 Secufity Focus 漏洞 库 中 找到 针对 该 漏洞 的 攻击 代 
码 。 

需要 说 明 的 是 , 当 用 户 通 过 扫描 发 现 了 漏洞 后 ,并 不 是 所 有 的 漏洞 都 可 以 找到 对 应 的 攻 
击 代码 。 因 为 并 不 是 所 有 的 漏洞 都 具有 可 利用 价值 ,只 有 那些 使 用 广泛 的 软件 中 的 漏洞 , 约 
束 条 件 少 及 危害 程度 高 的 漏洞 才 有 可 利用 价值 。 另 外 ,并 非 针 对 所 有 的 漏洞 都 可 以 编写 出 
攻击 代码 ,有 些 漏 洞 虽然 可 利用 价值 很 高 ,但 编写 针对 该 漏洞 的 攻击 代码 的 技术 要 求 也 很 
高 。 此 外 ,并 非 所 有 的 攻击 代码 都 是 公开 的 。 最 后 ,对 于 获取 到 的 攻击 代码 ,并 不 一 定 适合 
一 些 特定 的 环境 ,如 被 攻击 对 象 的 操作 系统 版 本 .语言 类 型 及 所 采用 的 安全 策略 等 ,都 可 能 
使 具体 的 攻击 环境 与 攻击 代码 要 求 之 间 存 在 差异 性 ,从 而 使 攻击 失败 。 

3. 发 起 攻击 

在 完成 了 漏洞 扫描 和 攻击 工具 准备 两 个 阶段 后 ,就 可 以 对 目标 对 象 发 起 基于 特定 漏洞 
的 攻击 。 不 过 ,是 否 能 够 达到 预期 的 攻击 目标 ,还 取决 于 攻击 工具 和 攻击 对 象 的 软件 环境 是 
否 匹 配 。 

攻击 者 需要 充分 掌握 被 攻击 对 象 的 操作 系统 版 本 语言 类 型 和 已 采用 的 安全 策略 (如 是 
否 安装 了 防火 墙 , 进 行 了 哪些 针对 账户 的 安全 设置 等 ) 等 信息 ,这些 信 息 必须 在 攻击 工具 所 
支持 的 范围 内 。 同 时 ,即使 被 攻击 对 象 的 环境 与 攻击 工具 直接 支持 的 环境 相同 ,一 般 也 需要 
有 针对 性 地 对 攻击 工具 的 参数 进行 配置 ,从 而 成 功 地 获得 目标 主机 的 访问 权 并 进行 权限 提 
升 操作 。 对 于 攻击 工具 不 直接 支持 的 目标 环境 ,需要 攻击 者 具备 二 进 制程 序 调 试 与 分 析 的 
技能 ,在 目标 环境 中 不 断 对 攻击 工具 进行 调试 ,通过 修改 相关 的 变量 和 参数 值 来 扩展 工具 所 
支持 的 环境 类 型 。 


2.6.3 补丁 管理 


软件 补丁 是 指 一 种 插入 程序 中 能 对 运行 中 的 软件 错误 进行 修改 的 软件 编码 , 它 是 漏洞 
被 发 现 后 由 软件 开发 商 开 发 和 发 布 的 。 安 装 软件 补丁 是 保障 安全 和 迅速 解决 小 范围 软件 错 
误 的 有 效 途 径 。 根 据 补丁 功能 的 不 同 ,基本 上 可 以 分 为 安全 补丁 和 非 安 全 补丁 两 大 类 。 其 
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中 ,安全 补丁 主要 针对 系统 软件 或 应 用 程序 中 存在 的 安全 漏洞 和 缺陷 ,而 非 安全 补丁 主要 针 
对 与 安全 因素 无 关 的 功能 ,如 程序 运行 错误 等 。 

为 每 台 计 算 机 系统 及 时 安装 最 新 的 补丁 是 网 络 管理 中 “预防 为 主 , 积 极 防御 ”的 有 效 方 
法 ,能 够 更 有 效 地 降低 病毒 和 蠕虫 泛滥 这 一 目前 普遍 存在 的 安全 风险 ,并 最 大 限度 地 预防 系 
统 遭 受到 攻击 。 一 般 情 况 下 ,对 于 单机 或 小 型 网 络 环境 而 言 ,可 以 通过 “Windows Update” 
功能 及 时 下 载 和 安装 补丁 程序 ; 对 于 大 中 型 网 络 环境 中 的 主机 而 言 ,可 通过 组 建 WSUS 
(Windows Server Update Services, Windows 更 新 服务 ) 来 自动 为 客户 端 主机 安装 补丁 。 
WSUS 是 Microsoft 公司 推出 的 用 于 局 域 网 内 计算 机 操作 系统 和 Office 等 应 用 软件 升级 的 
一 种 服务 器 软件 , 它 可 以 快速 方便 地 为 网 络 中 每 台 运 行 Windows 操作 系统 的 计算 机 升级 
操作 系统 和 应 用 软件 的 补丁 。 


2.7 针对 注册 表 和 组 策略 的 攻防 


注册 表 和 组 策略 是 Windows 系统 提供 的 两 个 用 于 对 系统 参数 进行 配置 的 应 用 服务 。 
其 中 ,修改 组 策略 的 本 质 是 修改 注册 表 的 键 值 。 由 于 注册 表 和 组 策略 在 系统 安全 中 的 重要 
性 ,所 以 在 系统 学 习 其 功能 和 配置 方法 的 基础 上 ,发 现 其 在 攻击 过 程 中 的 利用 价值 ,并 掌握 
必要 的 管理 方法 ,就 显得 十 分 重要 。 


2.7.1 针对 注册 表 的 攻防 


注册 表 和 组 策略 是 Windows 系统 提供 的 两 项 管理 功能 ,两 者 的 操作 方法 不 同 , 但 实现 
功能 有 所 重合 。 

1. 注册 表 的 概念 

从 用 户 的 角度 来 看 ,注册 表 系 统 由 注册 表 数 据 库 和 注册 表 编 辑 器 两 部 分 组 成 。 其 中 , 注 
册 表 数据 库 包 括 SYSTEM. DAT 和 USER. DAT 两 个 文件 。SYSTEM. DAT 用 来 保存 计 
算 机 的 系统 信息 ,如 安装 的 硬件 和 设备 驱动 程序 的 有 关 信息 等 ; USER. DAT 用 来 保存 每 个 
用 户 特有 的 信息 ,如 桌面 设置 .墙纸 或 窗口 的 颜色 设置 等 。 注 册 表 编辑 器 (Regedit. exe) 是 
一 个 专门 用 来 编辑 注册 表 的 程序 ,使 用 它 来 进行 注册 表 的 基本 的 浏览 .编辑 和 修改 操作 。 注 
册 表 的 架构 采用 如 图 2-18 所 示 的 树 形 结构 ,具体 介绍 如 下 。 

(1) 子 树 目 录 。 子 树 目 录 为 树 形 结 构 的 一 级 目录 ,也 称 为 根 文件 夹 (root folder) 或 根 键 
(rootkey)。 其 中 ,HKEY_LOCAL_MACHINE 下 保存 着 本 地 计算 机 的 设置 数据 ,如 硬件 设 
置 , 设 备 驱 动 程序 设置 应 用 程序 设置 安全 数据 库 设置 、 系 统 设置 等 信息 ,系统 利用 这 些 设 
置 值 来 决定 如 何 启动 与 设置 计算 机 环境 ; HKEY_CLASSES_ROOT 下 保存 着 程序 的 文件 
类 型 关联 信息 ,以 及 COM 对 象 的 设置 数据 ; HKEY_CURRENT_USER 下 保存 着 当前 登 
录 者 的 用 户 配 置 文件 ,如 用 户 的 桌面 设置 .网 络 驱动 器 .网 络 打印 机 等 ， HKEY_USERS 下 
保存 着 多 个 子 键 ,其 中 “. DEFAULT” 表 示 启 动 时 显示 “ 按 Ctrl 十 Alt 十 Delete” 登 录 窗口 ,“ 当 
前 登录 者 的 SID” 保 存 着 当前 登录 者 的 用 户 配 置 文件 ;， HKEY_CURRENT_CONFIG 下 保 
存 着 当前 的 硬件 配置 文件 数据 。 
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图 2-18 注册 表 的 架构 


(2) 键 与 子 键 。 键 与 子 键 之 间 的 关系 相当 于 文件 夹 与 子 文件 夹 之 间 的 关系 , 即 在 键 下 
可 以 创建 数值 与 子 键 。 简 单 地 讲 , 在 注册 表 左 侧 窗 口中 前 面 带 “十 ”或 “一 ”的 项 都 称 为 键 ,而 
子 树 目 录 ( 根 键 ) 下 创建 的 键 都 称 为 子 键 。 
(3) 数值 。 每 一 条 数值 内 包含 数值 名 称 ,数值 类 型 和 数值 数据 三 部 分 。 不 同 Windows 
版 本 注册 表 支 持 的 数据 类 型 不 同 , 表 2-4 列 出 了 Windows Server 2012 支持 的 数据 类 型 及 

















说 明 。 
表 2-4 Windows Server 2012 支持 的 数据 类 型 及 说 明 
数据 类 型 说 明 
REG_SZ 单一 字符 串 
REG_MULTI SZ 多 重 字符 串 
REG_BINARY 二 进 制 值 。 大 部 分 与 硬件 组 件 有 关 的 数据 都 是 以 二 进 制 的 形式 进行 保存 的 
REG_DWORD 32 位 的 数值 
REG_QWORD 64 位 的 数值 





REG_EXPAND_SZ 





包含 变量 (如 %systemroot%) 的 字符 串 


注册 表 配 置 单元 (hive) 是 由 部 分 键 . 子 键 和 数值 数据 组 成 的 集合 。 每 个 注册 表 配 置 单 
元 都 有 多 个 支持 文件 来 保存 其 数据 ,这 些 文件 称 为 注册 表 配 置 单元 文件 。Windows 系统 启 
动 时 会 读 取 这 些 文件 中 的 设置 值 。 例 如 ,图 2-18 中 的 SAM、SECURITY、SOFTWARE 与 
SYSTEM 都 是 注册 表 配 置 单元 ,它们 的 设置 值 分 别 保存 在 “% Systemroot%\System32\ 
config” 文 件 夹 下 的 不 同文 件 中 。 另 外 ,属于 用 户 配置 文件 的 部 分 (HKEY_CURRENT_ 
USER) 以 受 保护 的 隐藏 方式 保存 在 “%Systemroot%\ 用 户 \ 用 户 名 ”文件 夹 下 ,文件 名 为 


NETUSER. DAT。 
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2. 注册 表 的 安全 设置 

由 于 注册 表 的 重要 性 ,系统 管理 员 可 以 通过 加 固 注册 表 来 提高 系统 的 安全 性 ,防止 攻击 
者 通过 修改 注册 表 来 破坏 系统 。 攻 击 者 在 人 侵 目标 系统 后 通过 权限 提升 拥有 对 注册 表 的 修 
改 权 限 ,再 通过 修改 注册 表 实 现 对 系统 的 攻击 或 为 下 一 次 攻击 做 好 准备 。 有 关注 册 表 攻防 
涉及 的 内 容 较 多 ,而 且 大 都 是 一 些 具体 操作 。 下 面 主要 列举 几 个 实例 进行 说 明 。 

(1) 禁用 注册 表 编 辑 器 。 在 Windows 系统 安装 结束 后 ,用 户 可 以 使 用 注册 表 编 辑 工具 
regedit. exe 对 注册 表 进 行 修 改 , 存 在 较 大 的 安全 隐患 。 对 于 提供 信息 服务 的 重要 系统 ,可 
以 通过 禁止 用 户 使 用 注册 表 编 辑 工具 来 提高 系统 的 安全 性 。 

具体 实现 方法 是 : 运行 注册 表 编 辑 工具 regedit exe, 打 开 * 注 册 表 编辑 器 ”窗口 ,依次 展开 
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\CurrentVersion\ Polices\ System, 在 
“System” 键 (如 果 没 有 “System” 键 ,需要 新 建 一 个 ) 下 新 建 一 个 子 键 “DisableRegistryTools ”, 将 
“数值 数据 ”设置 为 "1" 即 可 (系统 默认 为 0) ,如 图 2-19 所 示 。 
注册 去 编外 器 IE 


文件 妨 赋 (5) 查看 (V) 收藏 关 (A) 帮助 (H) 一 一 
| | | | | Group polio Editor < 




















| | 》 国 Group Policy Objects 
| 111 1 | 加 mcom 
| | > 出 HomeGroup 

| | bime 

» Internet Settings 

| » 轩 MCT DisableRegistryTools 
| | | es | | sa: ES 
| | | 2 Polcios 加 十 六 进 制 00 
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图 2-19 设置 禁用 注册 表 编 辑 器 


(2) 限制 对 注册 表 的 远程 访问 。 由 于 注册 表 是 Windows 系统 的 核心 ,而且 默认 情况 下 
所 有 安装 Windows 操作 系统 的 计算 机 注册 表 在 网 络 上 都 是 可 以 被 访问 的 ,攻击 者 完全 可 以 
利用 这 个 漏洞 来 对 目标 主机 进行 注册 表 攻 击 , 修 改 文件 内 容 , 插 入 恶意 代码 。 为 了 保护 
Windows 操作 系统 的 安全 ,可 以 禁止 对 注册 表 的 远程 访问 。 具 体 方法 是 : 在 本 地 “服务 ” 列 
表 中 找到 “Remote Registry” 服 务 ,将 其 “启动 类 型 "设置 为 “禁用 ” 即 可 。 

(3) 禁用 注册 表 的 启动 项 。 一 些 恶 意 代 码 或 攻击 程序 通过 注册 表 的 启动 项 (RUN 值 ) 
来 加 载运 行 。 出 于 安全 考虑 , 可 以 在 注册 表 编 辑 器 中 依次 展开 HKEY _LOCAL_ 
MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run, 将 子 键 “Run” 的 权限 设 
置 为 “ 读 取 ”, 取 消 对 “完全 控制 "权限 的 选择 。 


2.7.2 针对 组 策略 的 攻防 


组 策略 是 配置 Windows 的 一 种 有 效 工具 ,组 策略 编辑 器 中 的 大 部 分 配置 都 可 以 通过 直 
接 修改 注册 表 来 实现 ,但 是 通过 组 策略 编辑 器 比 通过 注册 表 进 行 修改 更 加 直观 , 且 不 容易 
出 错 。 
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1. 组 策略 的 概念 

组 策略 (group policy) 是 Windows 系统 中 一 个 能 够 让 系统 管理 员 充 分 管理 用 户 工作 环 
境 的 工具 ,通过 它 可 以 为 用 户 设置 不 同 的 工作 环境 。 如 图 2-20 所 示 ,组 策略 包含 “计算 机 配 
置 ”与 “用 户 配置 ”两 部 分 ,分 别 对 计算 机 和 用 户 的 相关 配置 环境 产生 影响 。 运 行 gpedit. msc 
可 以 打开 组 策略 编辑 器 。 可 以 通过 以 下 两 种 方式 配置 组 策略 。 
































图 2-20 组 策略 编辑 器 操作 界面 


(1) 本 地 计算 机 组 策略 。 本 地 计算 机 组 策略 可 以 用 来 设置 单一 计算 机 的 组 策略 ,在 这 
个 组 策略 内 的 计算 机 配置 只 会 被 应 用 到 这 人 台 计 算 机 中 ,而 用 户 配置 会 被 应 用 到 在 此 计算 机 
登录 的 所 有 用 户 中 。 

(2) 域 的 组 策略 。 域 的 组 策略 在 域内 可 以 针对 站 点 、 域 或 组 织 单位 来 设置 组 策略 。 其 
中 , 域 组 策略 内 的 设置 会 被 应 用 到 域内 的 所 有 计算 机 与 用 户 中 ,而 组 织 单位 的 组 策略 会 被 应 
用 到 该 组 织 单位 内 的 所 有 计算 机 与 用 户 中 。 

Windows 系统 中 的 “控制 面板 "提供 了 对 系统 外 观 、 网 络 配置 .系统 配置 等 进行 修改 的 
功能 ,但 所 能 修改 的 对 象 较 少 。 而 注册 表 几 乎 可 以 对 系统 所 有 用 户 功 能 进行 修改 ,但 注册 表 
涉及 的 表 项 太 多 ,操作 很 不 方便 。 组 策略 正好 介 于 两 者 之 间 ,涉及 的 内 容 比 控制 面板 多 ,可 
操作 性 比 注册 表 强 。 通 俗 地 讲 , 组 策略 就 是 另 一 类 注册 表 编辑 器 ,是 注册 表 的 图 形 化 操作 ， 
组 策略 所 有 的 操作 都 会 在 注册 表 中 体现 。 

2. 组 策略 的 安全 设置 


组 策略 为 计算 机 和 用 户 控制 应 用 程序 、 系 统 设置 和 管理 模板 提供 了 一 种 操作 便捷 的 管 
理 机 制 。 组 策略 涉及 的 内 容 较 多 ,下 面 主要 通过 几 个 实例 来 对 安全 策略 进行 介绍 。 

(1) 隐藏 Windows 自 带 的 防火 墙 。Windows 系统 从 XP SP2 开始 在 系统 中 集成 了 防 
火 墙 功 能 ,通过 设置 可 以 阻 断 内 部 程序 向 外 发 送 数 据 , 从 而 防止 木马 等 恶意 代码 的 入 侵 。 同 
时 ,也 可 以 拒绝 外 部 程序 向 内 部 发 送 数据 ,如 阻止 ping 数据 包 以 防止 对 主机 的 连通 性 进行 
探测 。 

在 日 常 应 用 中 ,一些 用 户 会 关闭 Windows 自 带 的 防火 墙 功能 ,从 而 对 系统 安全 带 来 隐 
患 。 不 管 是 域 用 户 还 是 本 地 用 户 ,都 可 以 通过 组 策略 的 设置 来 隐藏 Windows 防火 墙 ,使 用 
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户 无 法 对 其 进行 操作 。 以 Windows 7 为 例 ,可 以 在 “本 地 组 策略 编辑 器 ”窗口 中 依次 选择 
“用 户 配 置 一 控制 面板 ”选项 ,在 “隐藏 指定 的 “控制 面板 "项 ”中 对 Windows 防火 墙 进行 隐藏 
操作 。 

(2) AppLocker。AppLocker 是 从 Windows 7 和 Windows Server 2008 R2 开始 在 
Windows 系统 中 提供 的 一 个 针对 不 同类 别 程序 的 管理 工具 。 利 用 AppLocker 管理 员 可 以 
方便 地 对 域 用 户 或 本 地 用 户 进行 配置 ,以 确定 用 户 可 在 计算 机 上 安装 或 运行 哪些 程序 ,以 及 
使 用 哪些 脚本 。AppLocker 通过 组 策略 来 管理 和 配置 ,可 将 其 部 署 到 整个 网 络 环境 中 。 

AppLocker 目前 支持 五 大 类 别 规则 的 管理 : 可 执行 文件 (. exe 和 . com 程序 )、Windows 
安装 程序 (. msi、msp 和 . mst 程序 ) .脚本 (. psl、bat、cmd、vbs 与 .js 程序 ) 已 封装 的 应 用 程 
序 (.appx) 和 DLL(. dll 和 . ocx 程序 ) 。 例 如 ,通过 AppLocker 的 设置 ,可 以 限制 在 计算 机 
上 运行 一 些 与 工作 无 关 或 可 能 对 系统 安全 产生 威胁 的 程序 。 

管理 员 可 以 在 “本 地 组 策略 编辑 器 ”中 依次 选择 “计算 机 配置 Windows 设置 一 安全 设 
置 一 应 用 程序 控制 ?选项 ,找到 “AppLocker” 项 后 根据 需要 进行 配置 。 

需要 说 明 的 是 ,在 进行 AppLocker 配置 时 ,系统 同时 提供 了 “允许 ”和 “拒绝 ”两 个 规则 。 
如 果 在 规则 类 别 内 创建 了 多 个 规则 , 则 AppLocker 在 处 理 这 些 规则 时 以 拒绝 规则 优先 。 同 
时 ,没有 列 在 规则 内 的 应 用 程序 一 律 拒绝 其 执行 。 

3. 本 地 安全 策略 

通过 “本 地 计算 机 策略 ”中 的 “安全 设置 "来 实现 对 本 地 计算 机 的 安全 管理 ,主要 包括 账 
户 策略 ,本 地 策略 、 公 钥 策 略 、 软 件 限制 策略 等 类 型 。 

(1) 账户 策略 。 账 户 策略 提供 了 密码 策略 和 账户 锁定 策略 两 种 类 型 。 其 中 ,通过 密码 
策略 可 以 对 用 户 登录 系统 时 的 密码 设置 规则 进行 配置 ,主要 包括 密码 必须 符合 复杂 性 要 求 、 
密码 最 长 使 用 期 限 、 密 码 最 短 使 用 期 限 .强制 密码 历史 、 密 码 长 度 最 小 值 . 用 可 还 原 的 加 密 来 
储存 密码 等 ; 通过 账户 锁定 策略 可 以 来 设置 账户 锁定 方式 ,主要 包括 账户 锁定 阔 值 .账户 锁 
定时 间 , 重 置 账户 锁定 计数 器 等 。 

(2) 本 地 策略 。 本 地 策略 提供 了 审核 策略 .用户 权限 分 配 和 安全 选项 3 种 类 型 。 其 中 ， 
通过 审核 策略 可 以 让 系统 管理 员 跟 踪 是 否 有 用 户 访问 计算 机 内 的 资源 ,也 可 以 跟踪 计算 机 
的 运行 情况 ,主要 包括 审核 目录 服务 访问 、 审 核 系统 事件 、 审 核对 象 访问 、 审 核 策略 更 改 、 审 
核 特 权 使 用 .审核 账户 登录 事件 .审核 账户 管理 .审核 进程 跟踪 等 。 

需要 说 明 的 是 ,审核 策略 可 以 同时 应 用 到 本 地 安全 策略 、 域 安全 策略 和 域 控制 器 安全 策 
略 等 环境 中 。 例 如 ,利用 审核 策略 中 的 “审核 账户 登录 事件 功能 ,在 发 生 登 录 事件 时 ,可 以 
确定 是 本 地 用 户 账 户 登录 还 是 域 用 户 账户 登录 。 如 果 是 本 地 用 户 账户 登录 , 则 登录 信息 会 
保存 在 安全 日 志文 件 中 ; 如 果 是 域 用 户 账 户 登 录 , 登 录 过 程 则 不 会 产生 日 志 信息 。 

通过 用 户 权 限 分 配 策略 可 以 将 权限 分 配给 用 户 或 组 .主要 包括 允许 本 地 登录 ,拒绝 本 地 
登录 ,将 工作 站 添加 到 域 .关闭 系统 、 从 网 络 访问 这 台 计 算 机 ,拒绝 从 网 络 访 问 这 台 计 算 机 、 
从 远程 系统 强制 关闭 等 。 

通过 安全 选项 策略 可 以 启用 一 些 安全 设置 ,主要 包括 对 用 户 登录 方式 进行 配置 。 例 如 ， 
通过 设置 “交互 式 登录 : 无 须 按 Ctrl 十 Alt 十 Del”, 可 以 让 用 户 在 登录 系统 时 不 再 出 现 “ 按 下 
Ctrl 十 Alt 十 Del 登录 ”的 提示 信息 ,以 便于 系统 管理 员 远 程 启动 计算 机 ,但 带 来 的 安全 威胁 
也 是 很 明显 的 。 
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4. 域 与 域 控制 器 安全 策略 


在 域 或 域 控制 器 中 设置 的 安全 策略 会 被 应 用 到 域内 的 所 有 计算 机 与 用 户 中 。 如 果 仅 
针对 域内 的 组 织 单位 设置 安全 策略 ,此 策略 会 应 用 到 该 组 织 单位 内 的 所 有 计算 机 与 用 
a 

(1) 域 安全 策略 。 可 以 在 域 控制 器 上 利用 系统 管理 员 身 份 登录 后 设置 域 安全 策略 , 具 
体 设置 方式 与 本 地 安全 策略 的 设置 相同 。 

需要 说 明 的 是 ,隶属 于 域 的 任何 一 台 计算 机 ,都 会 受到 域 安 全 策略 的 影响 。 隶 属于 域 的 
计算 机 ,如 果 其 本 地 安全 策略 设置 与 域 安全 策略 设置 发 生 冲 突 , 则 以 域 安全 策略 设置 优先 ， 
本 地 设置 自动 失效 。 当 域 安全 策略 的 设置 发 生 了 变化 ,这 些 策略 必须 应 用 到 本 地 计算 机 后 
才能 对 本 地 计算 机 有 效 。 

(2) 域 控制 器 安全 策略 。 可 以 在 域 控制 器 上 利用 系统 管理 员 身 份 登录 后 设置 域 控制 器 
安全 策略 ,其 设置 方法 与 域 安全 策略 和 本 地 安全 策略 相同 。 

需要 说 明 的 是 ,任何 一 台 位 于 组 织 单位 域 控制 器 内 的 域 控制 器 ,都 会 受到 域 控制 器 安全 
策略 的 影响 。 域 控制 器 安全 策略 的 设置 必须 要 应 用 到 域 控制 器 后 ,这 些 设置 对 域 控 制 器 才 
起 作用 。 域 控制 器 安全 策略 与 域 安全 策略 的 设置 发 生 冲 突 时 ,对 于 域 控制 器 容器 内 的 计算 
机 来 说 ,默认 以 域 控制 器 安全 策略 的 设置 优先 , 域 安全 策略 自动 失效 。 不 过 , 域 安全 策略 中 
的 账户 策略 设置 对 域内 所 有 的 用 户 都 有 效 ,即使 用 户 账户 位 于 组 织 单位 域 控制 器 内 也 有 效 ， 
也 就 是 说 , 域 控制 器 安全 策略 中 的 账户 策略 对 域 控制 器 并 不 起 作用 。 


习 题 


. 简 述 Windows 服务 器 操作 系统 结构 的 特点 及 主要 模块 的 功能 。 

. 简 述 Windows 服务 器 的 安全 模型 ,并 说 明 内 核 模式 与 用 户 模式 之 间 的 不 同 。 

. 简 述 EFS 加 密 文 件 系 统 的 实现 原理 ,并 结合 具体 应 用 分 析 其 功能 特点 。 

. 什么 是 RAID? 介绍 常见 RAID 的 工作 方式 及 其 特点 。 

. 结合 双 机 热 备 系统 的 组 成 及 功能 实现 ,介绍 心跳 的 功能 。 

. 什么 是 数据 迁移 ? 简 述 其 实现 过 程 和 应 用 特点 。 

. 简 述 异地 容 灾 的 概念 及 其 功能 和 实现 方式 。 

. 结合 具体 应 用 , 简 述 数据 备份 .权限 管理 和 数据 加 密 的 功能 和 用 途 。 

. 结合 Windows 系统 中 的 身份 认证 实现 方式 ,对 比分 析 NTLM 和 Kerberos 的 功能 

及 主要 实现 方法 。 
10. 介绍 SAM 文件 的 特点 ,通过 具体 实验 介绍 Windows 登录 密码 的 重 置 或 破解 方法 。 
11. 结合 SID 和 ACL 的 功能 及 权限 设置 的 基本 原则 , 试 分 析 权 限 在 安全 中 的 作用 。 
12. 简 述 进程 线程 ,程序 和 服务 的 概念 及 相互 之 间 的 关系 。 
13. 结合 实际 应 用 ,介绍 Windows 中 常见 进程 的 功能 及 针对 具体 攻击 的 安全 防范 

方法 。 


oo 中 mm 上 mo 
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14. 简 述 服务 与 端口 的 概念 与 关联 ,结合 具体 应 用 ,掌握 常见 服务 和 端口 的 功能 及 安全 
管理 方法 。 

15. 简 述 Windows 系统 日 志 的 功能 和 特点 ,结合 Windows 自 带 防 火 墙 .IIS 等 具体 应 
用 ,分 析 事 件 日 志 在 网 络 攻防 中 的 重要 性 。 

16. 通过 网 络 攻防 实例 ,分 析 漏 洞 在 网 络 攻击 中 发 挥 的 作用 。 

17. 简 述 注册 表 和 组 策略 的 功能 及 基本 配置 方法 ,并 结合 具体 的 网 络 环境 ,分 别 掌握 其 
应 用 特点 。 


第 3 章 Linux 操作 系统 的 攻防 


作为 类 UNIX 操作 系统 家 族 中 的 一 员 ,Linux 操作 系统 已 经 成 为 服务 器 应 用 领域 的 首 
选 。 相 较 于 Windows 操作 系统 ,Linux 在 很 多 方面 都 具有 一 定 的 优势 ,尤其 在 安全 方面 。 
由 于 Linux 的 开源 性 ,其 安全 漏洞 的 发 现 与 补丁 的 发 布 效率 都 要 比 Windows 系统 高 。 然 
而 ,Linux 并 非 一 个 绝对 安全 的 操作 系统 ,也 存在 大 量 的 安全 漏洞 ,并 且 攻 击 者 凭借 其 开源 
性 可 以 从 源码 中 发 现 更 多 的 系统 内 核 和 开源 软件 的 漏洞 。 本 章 将 从 网 络 攻防 的 角度 介绍 
Linux 操作 系统 的 安全 机 制 .攻击 技术 及 对 应 的 防范 方法 。 


3.1 Linux 操作 系统 的 工作 机 制 


Linux 是 源 自 于 UNIX 的 开放 源 代码 的 多 用 户 、 多 任务 .支持 多 线程 和 多 CPU 的 操作 
系统 ,主要 应 用 于 安全 性 要 求 较 高 的 服务 器 、 网 络 设备 和 移动 终端 。 


3.1.1 Linux 操作 系统 概述 


Linux 操作 系统 诞生 于 1991 年 ,最 初 是 由 芬兰 大 学 生 Linus Torvalds 为 在 Intel x86 架 
构 计 算 机 上 运行 自由 免费 的 类 UNIX 操作 系统 ,而 用 C 语言 编写 的 开放 源 代码 的 操作 系 
统 。 目 前 ,Linux 存在 着 许多 不 同 的 版 本 ,主要 包括 Ubuntu、 Fedora、 RedHat、 CentOS、 
OpenSUSE 等 ,但 不 同 版 本 都 使 用 了 相同 的 Linux 内 核 。 

Linux 的 基本 思想 是 : 一 切 都 是 文件 , 即 系统 中 包括 命令 、 硬 件 和 软件 设备 、 进 程 等 所 
有 对 象 对 于 操作 系统 内 核 而 言 都 被 视 为 拥有 各 自 特性 或 类 型 的 文件 。Linux 是 一 款 免 费 的 
操作 系统 ,用 户 可 以 通过 网 络 或 其 他 途径 免费 获得 ,并 可 以 根据 需要 对 其 源 代码 进行 修改 。 
目前 ,Linux 可 以 运行 在 多 种 硬件 平台 上 ,如 x86(32 位 和 64 位 )、680x0、SPARC、Alpha 等 
处 理 器 的 平台 。 此 外 ,Linux 还 是 一 种 嵌入 式 操作 系统 ,可 以 运行 在 智能 手机 、 机 项 盒 、 路 巾 
器 等 设备 上 ,如 Google 基于 Linux 内 核 开 发 了 Android 移动 智能 终端 操作 系统 与 开发 
环境 。 

Linux 通过 自 带 的 防火 墙 , 人 侵 检测 和 安全 认证 等 工具 ,可 以 及 时 发 现 和 修复 系统 的 漏 
洞 ,以 提高 系统 的 安全 性 。 在 桌面 应 用 中 ,Linux 的 用 户 数 要 少 于 Windows 操作 系统 的 用 
户 , 较 少 的 用 户 群 使 专门 针对 Linux 的 恶意 代码 和 渗透 攻击 要 比 Windows 操作 系统 少 。 同 
时 ,Linux 内 核 源 代码 是 以 标准 规范 的 32 位 或 64 位 计算 机 进行 优化 设计 的 ,良好 的 稳定 性 
使 得 一 些 安装 了 Linux 的 主机 像 UNIX 主机 一 样 可 以 常年 不 关机 或 宕 机 。 在 网 络 功能 方 
面 ,Linux 内 置 了 免费 网 络 服 务 器 软件 、 数 据 库 和 Web 开发 工具 ,如 Apache、Sendmail、 
SSH、MySQL、PHP、JSP、VSFTP 等 。 丰 富 而 强大 的 网 络 功能 为 用 户 提供 了 安全 可 靠 的 网 
络 服务 ,使 得 Linux 成 为 安全 性 、 稳 定性 和 可 靠 性 要 求 较 高 的 服务 器 操作 系统 的 首选 。 


76 网 络 攻击 与 防御 技术 





3.1.2 Linux 操作 系统 的 结构 


Linux 操作 系统 采用 宏 内 核 (monolithic kernel) 架 构 ,整个 操作 系统 是 一 个 运行 在 核心 
态 的 单一 的 进程 文件 ,这 个 二 进 制 文件 包含 进程 管理 .内存 管 理 , 文 件 管理 等 。 而 Linux 的 
前 身 Minix 采用 的 是 微 内 核 (Micro Kernel) 架构 ,基于 该 架构 的 操作 系统 大 部 分 都 运行 在 
单独 的 进程 中 ,而 且 多 数 在 内 核 之 外 ,进程 之 间 通 过 消息 传递 来 通信 ,内 核 的 任务 是 处 理 消 
息 传 递 . 中 断 处 理 、 底 层 的 进程 管理 及 可 能 的 1/O。 

1. Linux 操作 系统 的 内 核 结构 


如 图 3-1 所 示 , 从 体系 结构 来 看 ,Linux 操作 系统 的 体系 架构 分 为 用 户 态 和 内 核 态 ,也 
称 为 用 户 空间 和 内 核 。 内 核 从 本 质 上 看 是 一 种 软件 ,用 于 控制 计算 机 的 硬件 资源 ,并 提供 上 
层 应 用 程序 运行 的 环境 。 用 户 态 即 上 层 应 用 程序 的 活动 空间 ,应 用 程序 的 执行 必须 依托 于 
内 核 提供 的 资源 ,包括 CPU 资源 、 存 储 资源 .1/O 资源 等 。 为 了 使 上 层 应 用 能 够 访问 到 这 些 
资源 ,内 核 必须 为 上 层 应 用 提供 访问 的 接口 , 即 系统 调用 。 系 统 调用 是 操作 系统 的 最 小 功能 
单位 ,根据 不 同 的 应 用 场景 可 以 进行 扩展 和 裁剪 ,不同 的 Linux 版 本 提供 的 系统 调用 数量 各 
不 相同 。 系 统 调 用 功能 通过 系统 调用 接口 实现 。 





用 户 空间 (GNU 运 行 库 /工具 、 命 令 行 Shell 、X 窗 口 、 应 用 软件 ) 用 户 态 
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硬件 设备 (CPU、 内 存 、 磁 盘 、 终端、 网 络 接口 ) 硬件 








3-1 Linux 操作 系统 内 核 结构 


在 Linux 内 核 中 ,位 于 硬件 抽象 层 中 的 各 类 设备 驱动 程序 可 以 完全 访问 硬件 设备 ,并 以 
模块 化 形式 进行 设置 ,而 且 系统 运行 期 间 可 以 直接 通过 LKM(Loadable Kernel Module, 可 
装载 内 核 模 块 ) 机 制 装 载 或 印 载 。 内 核 服务 功能 模块 位 于 硬件 抽象 层 之 上 ,包括 进程 与 线程 
管理 .内 存 管理 ,文件 系统 管理 ,设备 控制 与 网 络 5 个 子 系统 。 这 些 内 核 服 务 功 能 模块 通过 
系统 调用 接口 向 用 户 态 的 GNU 运行 库 /工具 命令 行 Shell、X 窗口 及 应 用 软件 提供 服务 。 
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Shell 是 一 个 被 称 为 “命令 行 ” 的 特殊 的 应 用 程序 ,其 实质 是 一 个 命令 解释 器 , 它 负 责 
上 层 的 各 种 应 用 与 系统 调用 连接 起 来 ,以 便 让 不 同 程序 能 够 以 一 个 清晰 的 接口 协同 工作 ,从 
而 增强 各 个 程序 的 功能 。 同 时 ,Shell 是 可 编程 的 , 它 可 以 执行 符合 Shell 语法 的 文本 , 即 
Shell 脚本 。 为 了 方便 用 户 和 系统 交互 ,一 般 一 个 Shell 对 应 一 个 终端 ,终端 是 一 个 硬件 设 
备 , 呈 现 给 用 户 的 是 一 个 图 形 化 窗口 ,用 户 可 以 通过 这 个 窗口 输入 或 者 输出 文本 ,这 个 文本 
直接 传递 给 Shell 进行 分 析 解 释 , 然 后 执行 。 

2. Linux 的 工作 机 制 

Linux 操作 系统 在 进程 与 线程 管理 内存 管理 ,文件 系统 管理 .设备 控制 .网络 . 系 统 调 
用 等 方面 都 形成 了 特有 的 工作 机 制 ,掌握 这 些 工作 机 制 为 全 面 学 习 Linux 操作 系统 的 功能 
及 应 用 特点 是 非常 有 帮助 的 。 

(1) 进程 与 线程 管理 。 进 程 是 一 个 动态 的 概念 ,进程 运行 过 程 实际 上 是 进程 的 一 个 生 
存 周期 ,通常 分 为 实际 占用 CPU 的 运行 状态 、 进 程 可 运行 (但 暂时 挂 起 ) 的 就 绪 状 态 和 资源 
不 可 用 的 阻塞 (中 断 ) 状 态 3 种 状态 。 线 程 可 以 理解 为 同一 进程 中 相互 独立 执行 的 上 下 文 ， 
线程 是 “多 任务 ”的 进程 。 线 程 的 概念 较为 适用 于 紧密 耦合 的 一 组 处 理 流程 。 在 传统 进程 的 
概念 中 ,一 个 进程 有 一 条 执行 线索 ,进程 之 间 空间 、 时 间 独 立 , 互 不 干扰 。 而 线程 在 逻辑 上 是 
一 个 事务 的 不 同 线 索 , 线 索 之 间 有 着 种 种 联系 ,可 能 是 共享 一 段 缓存 或 协调 执行 一 组 任务 。 

Linux 内 核 采 用 抢占 式 多 用 户 多 进程 (multiprocessing) 模 式 。 在 该 模式 下 ,多 个 进程 
可 并 发 活动 ,具体 由 内 核 进程 管理 模块 负责 调度 并 分 配 硬件 资源 。 进 程 作为 最 基本 的 调度 
单元 ,维护 着 一 个 进程 控制 块 (Processing Control Block ,PCB) 结 构 , 由 内 核 schedule() 进 程 
调度 函数 根据 进程 优先 级 和 CPU 、 内 存 、 外 设 等 资源 情况 来 选择 进程 的 运行 。 

(2) 内 存 管理 。 内 存 管理 在 操作 系统 中 不 仅 非常 重要 ,而 且 非 常 复杂 。 利 用 虚拟 存储 
技术 ,Linux 使 得 一 个 拥有 有 限 内 存 资源 的 计算 机 可 以 为 每 个 进程 提供 多 达 4GB 的 虚拟 内 
存 空间 。 其 基本 实现 思路 是 通过 进程 映像 和 分 页 机 制 在 内 存 和 二 级 存储 之 间 传 送 数据 ,以 
充分 利用 有 限 的 内 存 资 源 。 另 外 ,Linux 虚拟 内 存 管理 机 制 把 用 户 空间 和 核心 空间 分 开 , 这 
样 不 仅 有 效 地 保护 了 核心 空间 ,各 个 进程 之 间 也 互 不 影响 。 

(3) 文件 系统 管理 。Linux 使 用 了 虚拟 文件 管理 (Virtual File System, VFS) 机 制 ,从 而 
使 得 它 能 够 支持 多 种 不 同类 型 的 逻辑 文件 系统 (主要 包括 ext2/ext3/ext4、vfat、NTFS 等 )， 
通过 设备 驱动 程序 访问 特定 硬件 设备 (如 磁盘 .打印 机 等 )。 而 VFS 为 用 户 进程 提供 了 一 组 
通用 的 文件 系统 调用 函数 (如 open close read write 等 ) ,可 以 对 不 同文 件 系统 中 的 文件 进 
行 统一 的 操作 。ext2/ext3/ext4 是 Linux 中 默认 的 文件 系统 格式 ,使 用 索引 节点 来 记录 文 
件 信息 ,作用 类 似 于 Windows 系统 中 的 FAT32 文件 系统 的 目录 项 ,包含 了 文件 长 度 、 创 建 
及 修改 时 间 、 权 限 、 所 属 关 系 、 磁 盘 中 的 位 置 等 信息 。 

(4) 设备 控制 。 设 备 驱动 程序 (device driver) 是 操作 系统 中 一 种 可 以 使 计算 机 和 设备 
进行 通信 的 特殊 软件 。Linux 抽象 了 设备 的 处 理 , 它 对 所 有 的 硬件 设备 都 视 为 常规 的 文件 
来 处 理 。Linux 支持 3 种 类 型 的 硬件 设备 : 字符 设备 、 块 设备 和 网 络 设备 。 其 中 ,字符 设备 
直接 读 / 写 ,没有 提供 缓冲 区 ,如 系统 的 串 行 端口 /dev/cua0 和 /dev/cual; 块 设备 只 能 按照 
一 个 块 (一 般 是 512 字 节 或 1024 字 节 ) 的 倍数 进行 读 / 写 , 块 设备 通过 bcache(buffer cache) 
访问 ,进行 随机 存 取 ; 网 络 设 备 则 通过 BSD(Berkeley Software Distribution ,伯克利 软件 套 
件 )Socket 网 络 接口 进行 访问 。 大 多 数 的 设备 驱动 程序 都 采用 LKM(Loadable Kernel 
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Modules, 可 装载 内 核 模块 ) 机 制 ,在 需要 的 时 候 作为 核心 模块 加 载 ,在 不 需要 的 时 候 进 行 卸 
载 ,以 提高 对 系统 资源 的 利用 率 。 

(5) 网 络 。Linux 中 的 网 络 模块 提供 了 对 各 种 网 络 标准 的 访问 ,并 支持 各 种 网 络 硬 件 
设备 。 网 络 接口 可 以 分 为 网 络 协 议 栈 和 网 络 驱 动 程序 。 其 中 ,网 络 协议 栈 负 责 实现 每 一 种 
可 能 的 网 络 传 输 协议 ,包括 网 络 接口 层 的 协议 (如 以 太 网 .PPP、SLIP 等 )、TCP/IP 协议 层 ， 
以 及 为 上 层 网 络 应 用 提供 的 Socket 接口 ,如 图 3-2 所 示 。 网 络 设 备 驱 动 程序 负责 与 硬件 设 
备 之 间 的 通信 。 

































































网 络 应 用 程序 + 用 户 态 
BSD Socket 核心 态 
Socket 接 口 2 ft TS 
INET Socket Appletalk IPX 
pih TCP UDP 
协议 层 
协议 时 IP | ARP 
网 络 接 [ BR《 Ethernet PPP SLIP 























图 3-2 Linux 操作 系统 的 网 络 功能 


Linux 通过 以 上 5 种 工作 机 制 实现 了 操作 系统 基本 的 硬件 管理 和 系统 功能 ,这 些 功 能 
模块 全 部 运行 在 CPU 的 核心 态 。 而 应 用 程序 运行 在 用 户 态 , 不 能 直接 访问 内 存 空间 ,也 不 
能 直接 调用 内 核 函数 。Linux 提供 了 系统 调用 接口 ,通过 该 接口 应 用 程序 可 以 访问 硬件 设 
备 和 其 他 系统 资源 ,以 增加 系统 的 安全 性 、 稳 定性 和 可 靠 性 。 同 时 ,Linux 为 用 户 空间 提供 
了 一 种 统一 的 抽象 接口 ,有 助 于 应 用 程序 的 跨 平台 移植 。 


3.2 Linux 操作 系统 的 安全 机 制 


与 Windows 操作 系统 类 似 ,Linux 同样 通过 身份 认证 ,授权 访问 与 安全 审计 等 机 制 来 
实现 对 系统 的 安全 管理 。 


3.2.1 用 户 和 组 

Linux 通过 基于 角色 的 身份 认证 方式 实现 对 不 同 用 户 (user) 和 组 (group) 的 分 类 管理 ， 
来 确保 多 用 户 多 任务 环境 下 操作 系统 的 安全 性 。 

下 拥 户 

用 户 是 Linux 操作 系统 中 执行 进程 完成 特定 操作 任务 的 主体 ,根据 不 同 的 角色 定位 ,可 
以 将 用 户 分 为 以 下 3 种 类 型 。 

(1) Root 根 用 户 。Root 根 用 户 是 Linux 系统 中 唯一 拥有 系统 管理 员 ( 超 级 用 户 ) 权 限 
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的 用 户 ,可 以 对 系统 进行 任何 的 操作 。 由 于 Root 用 户 对 系统 拥有 最 高 的 控制 和 管理 权限 ， 
所 以 成 为 网 络 攻击 的 主要 目标 。 

(2) 普通 用 户 。 普 通用 户 是 由 系统 使 用 者 根据 需要 创建 的 一 种 用 户 类 型 ,其 基本 功能 
是 登录 系统 并 执行 基本 的 计算 任务 ,该 类 用 户 在 系统 中 的 操作 被 限制 在 自己 的 目录 内 , 且 执 
行 权 限 受 到 限制 。 

(3) 系统 用 户 。 系 统 用 户 不 具有 登录 系统 的 能 力 ,但 却 是 系统 运行 中 不 可 缺少 的 用 户 。 
例如 , 当 启 动 网 络 服务 时 使 用 的 Daemon、Apache 等 用 户 , 以 及 匿名 访问 时 使 用 的 Nobody、 
FTP 等 用 户 。 

Linux 的 用 户 信息 保存 在 系统 的 “/etc/passwd” 文 件 中 ,主要 包括 用 户 名 、 用 户 唯 一 的 
标识 (UID) 使 用 Shell 类 型 .用 户 初始 目录 等 ,而 被 加 密 后 的 口令 则 存放 在 “/etc/shadow” 
文件 中 ,只 有 Root 用 户 可 以 读 取 其 信息 。 

2. 组 

Linux 通过 组 来 简化 对 系统 中 用 户 的 管理 。 根 据 管 理 的 需要 ,可 以 将 具有 相同 权限 的 
用 户 集中 纳入 到 同一 个 组 中 ,通过 对 组 设置 权限 来 使 该 组 中 的 所 有 用 户 自 动 继承 组 的 权限 。 
在 权限 设置 上 ,对 组 的 权限 设置 会 自动 传递 给 组 中 的 所 有 用 户 ,为 此 将 组 也 称 为 用 户 组 。 

Linux 组 信息 保存 在 系统 的 */etc/group” 文 件 中 ,包括 组 名 称 ` 组 标识 (GID) 及 组 所 包 
含 的 用 户 名 列表 ,组 被 加 密 后 的 口令 保存 在 “/etc/gshadow” 文 件 中 。 可 以 使 用 id-a 命令 来 
查询 和 显示 当前 用 户 所 属 的 组 ,并 通过 groupadd 命令 添加 组 ,使 用 usermod-G group_name 
user-name 命令 向 组 中 添加 用 户 。 


3.2.2 身份 认证 


Linux 分 别 对 本 地 登录 和 远程 登录 用 户 提供 了 身份 认证 方式 ,同时 还 为 不 同 的 应 用 软 
件 和 网 络 服务 提供 了 用 于 统一 身份 认证 的 PAM(Pluggable Authentication Modules ,可 搬 
人 身份 认证 模块 ) 中 间 件 。 

1. 本 地 身份 认证 

本 地 身份 认证 对 从 本 地 计算 机 通过 Linux 控制 台 登 录 的 用 户 身份 的 合法 性 进行 认证 ， 
基本 的 认证 流程 是 : 由 init 进程 启动 getty, 产 生 ttyl、tty2 等 一 组 虚拟 控制 台 。 在 虚拟 控制 
台 上 为 用 户 提供 了 登录 方式 ,在 用 户 输入 用 户 名 和 密码 后 ,getty 执行 登录 (Login) 进 程 ,并 
开始 对 用 户 身份 的 合法 性 进行 认证 。 当 身份 认证 通过 后 ,登录 进程 会 通过 fork() 函 数 复制 
一 份 该 用 户 的 界面 (Shell) ,从 而 完成 登录 过 程 ,用 户 可 以 在 该 界面 下 进行 相应 的 操作 。 

登录 进程 通过 Crypt() 函 数 对 用 户 输入 的 口令 进行 验证 ,并 通过 引入 在 用 户 设 置 密码 
时 随机 产生 的 salt 值 来 提高 身份 认证 的 安全 性 。salt 值 和 用 户 密码 被 一 起 加 密 后 形成 密 文 
连同 salt 值 保存 在 /etc/shadow” 文 件 中 。 当 用 户 登 录 系 统 时 ,Crypt() 函数 会 对 用 户 输入 
的 口令 和 shadow 文件 中 的 salt 值 进行 加 密 处 理 , 青 将 处 理 后 的 密 文 与 保存 在 shadow 文件 
中 的 密 文 进行 比 对 ,以 确定 用 户 身份 的 真实 性 。 

Linux 的 口令 加 密 机 制 源 于 DES(Data Encryption Standard, 数 据 加 密 标 准 ) ,通常 使 用 
56 位 密 钥 加 密 的 64 位 的 文本 块 , 抵 抗暴 力 破解 的 能 力 较 弱 。 为 提高 身份 认证 的 可 靠 性 , 较 
新 版 本 的 Linux 开始 采用 MD5、SHA-256 .SHA-512、blofish 等 高 强度 的 加 密 算法 ,同时 增 
加 了 salt 的 编码 长 度 。 
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2. 远程 身份 认证 

UNIX 系统 中 提供 的 rlogin( 远 程 登录 ) .rsh(remote shell ,远程 界面 ) 和 Telnet 登录 用 
户 和 终端 登录 与 访问 服务 在 Linux 系统 中 得 到 了 继承 ,但 由 于 这 些 服务 信息 都 以 明文 方式 
在 网 络 中 传输 ,传输 口令 和 控制 命令 极 易 被 攻击 者 获取 并 利用 ,如 典型 的 中 间 人 (man in the 
middle) 攻 击 。 为 解决 此 问题 ,目前 Linux 系统 普遍 采用 SSH(Secure Shell) 服务 来 实现 对 
远程 访问 的 安全 保护 。 

使 用 SSH 具有 两 大 明显 的 优势 : 数据 加 密 和 数据 压缩 。 利 用 数据 加 密 功 能 可 以 对 所 
有 传输 的 数据 进行 加 密 ,以 避免 中 间 人 攻击 或 网 络 欺骗 ; 利用 数据 压缩 功能 ,可 以 对 传输 的 
数据 进行 压缩 ,以 提高 数据 传输 的 效率 。 

SSH 协议 由 传输 层 协议 (Transport Layer Protocol)、 用 户 认 证 协议 (User 
Authentication Protocol) 和 连接 协议 (Connection Protocol) 三 部 分 组 成 。 每 层 提供 自己 类 
型 的 保护 ,并 且 可 以 与 其 他 方式 一 起 使 用 ,SSH 协议 的 体系 结构 如 图 3-3 所 示 。 
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图 3-3 SSH 协议 的 体系 结构 


(1) 传输 层 协议 。SSH 传输 层 协议 提供 了 高 强度 的 数据 通信 加 密 处 理 、 加 密 的 主机 身 
份 认证 .数据 完整 性 校 验 及 可 供用 户 选择 的 数据 压缩 等 多 种 安全 服务 。 通 信 双 方 所 需要 的 
密 钥 交换 方式 . 公 钥 密码 算法 、 对 称 密 钥 密码 算法 、 消 息 认 证 算法 和 Hash 算法 等 都 可 以 进 
行 协商 。 传 输 层 协议 的 主要 功能 是 为 两 种 主机 之 间 的 认证 和 通信 提供 安全 数据 传输 通道 ， 
通常 运行 于 TCP/IP 之 上 。 

需要 说 明 的 是 ,SSH 传输 层 协 议 中 的 认证 是 基于 主机 的 ,而 不 是 针对 客户 端 用 户 的 身 
份 认证 。 用 户 身 份 认 证 可 以 通过 基于 传输 层 协议 之 上 .单独 设计 的 协议 来 完成 。 这 样 , 既 保 
证 了 通信 的 安全 性 ,又 提供 了 协议 的 灵活 性 和 扩展 性 。 

(2) 用 户 认证 协议 。 在 传输 层 构 建 了 一 个 连接 客户 端 与 服务 器 端的 安全 通道 后 ,服务 
器 将 告诉 客户 端 它 所 支持 的 认证 算法 ,客户 端 将 用 服务 器 支持 的 算法 向 服务 器 证 明 自 己 的 
身份 。 认 证 由 服务 器 主导 ,客户 端 可 以 根据 服务 器 提供 的 方法 列表 自由 进行 选择 。 这 样 一 
方面 使 服务 器 对 认证 有 完全 的 控制 权 , 同 时 也 给 客户 端 足够 的 灵活 度 。 

SSH 提供 了 基于 口令 的 安全 验证 和 基于 密 钥 的 安全 验证 两 种 方式 。 其 中 ,基于 口令 的 
安全 验证 方式 可 以 使 用 Linux 系统 内 建 的 用 户 账户 (用 户 名 十 口令 ) 进 行 远 程 登录 ; 基于 密 
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钥 的 安全 验证 方式 使 用 公 钥 密 钥 机 制 对 用 户 身 份 的 合法 性 进行 认证 。 系 统 生成 的 一 对 密 
钥 , 私 钥 由 用 户 自己 保存 ,而 公 钥 保存 在 远程 访问 服务 器 上 。 当 用 户 通过 SSH 方式 连接 服 
务 器 时 ,客户 端 软件 首先 向 服务 器 发 出 连接 请 求 ,服务 器 在 接收 到 请 求 后 就 利用 请 求 用 户 的 
公 钥 加 密 “ 质 询 ”(challenge) 并 将 其 发 送 给 客户 端 软件 ,客户 端 软 件 收 到 被 加 密 的 “质询 ”后 
利用 私 钥 进 行 解密 , 青 发 送 给 服务 器 端 ,完成 了 基于 公 钥 密 钥 机 制 的 身份 认证 过 程 。 

(3) 连接 协议 。SSH 连接 协议 的 主要 功能 是 完成 用 户 请 求 的 各 种 具体 的 网 络 服务 ,而 
这 些 服务 的 安全 性 由 SSH 传输 层 协议 和 用 户 认证 协议 实现 。 在 SSH 传输 层 成 功 认 证 后 ， 
通过 信道 复 用 方式 同时 打开 客户 端 与 服务 器 之 间 的 多 个 信道 连接 ,每 个 信道 处 理 不 同 的 终 
端 会 话 。 通 过 连接 协议 提供 的 信道 ,扩展 了 SSH 协议 的 应 用 范围 和 灵活 性 。 

SSH 使 用 多 种 加 密 方式 和 认证 方式 ,解决 了 传统 服务 的 数据 加 密 和 身份 认证 问题 。 
SSH 成 熟 的 公 钥 密 钥 体系 为 客户 端 和 服务 端 之 间 的 会 话 提 供 加 密 通 道 , 解 决 了 口令 、 控 制 
命令 和 用 户 数据 在 网 络 上 以 明文 传输 的 不 安全 问题 。SSH 还 支持 CA 、 智 能 卡 等 多 种 认证 
方式 ,有 效 解决 了 身份 认证 问题 ,并 克服 了 重 放 攻 击 和 中 间 人 攻击 等 不 安全 因素 。 

3. 可 插入 身份 认证 模块 (PAM) 

为 了 能 够 为 不 同 的 应 用 程序 和 服务 提供 统一 的 身份 认证 机 制 ,1995 年 Sun 公司 提出 了 
PAM(Pluggable Authentication Modules, 可 插入 身份 认证 模块 ) 技 术 , 并 充分 利用 互联 网 
中 已 成 功 应 用 的 分 层 思想 。 采 用 分 层 的 体系 结构 ,将 不 同 应 用 程序 的 认证 功能 从 应 用 程序 
中 分 离 出 来 ,形成 一 个 额外 的 相对 独立 的 认证 层 ,使 得 系统 管理 员 和 软件 开发 人 员 可 以 根据 
需要 灵活 地 配置 或 开发 应 用 程序 ,而 无 须 具体 了 解 应 用 程序 自身 的 认证 机 制 。 

PAM 是 要 求 对 其 服务 进行 身份 认证 的 应 用 程序 与 提供 认证 服务 的 认证 模块 之 间 的 中 
间 件 。PAM 提供 了 对 所 有 服务 进行 认证 的 中 央 机 制 ,应 用 于 login、Telnet、FTP、su(switch 
user) 等 应 用 程序 中 。 系 统管 理 员 通 过 PAM 配置 文件 来 制定 不 同 应 用 程序 的 不 同 认证 策 
略 ; 应 用 程序 开发 者 通过 在 服务 程序 中 使 用 PAM API 来 实现 对 认证 方式 的 调用 ; PAM 服 
务 模块 (Service Module) 的 开发 者 则 利用 PAM SPI(Service Module API, 服 务 编程 接口 ) 来 
编写 认证 模块 ,将 不 同 的 认证 机 制 (Kerberos、 智 能 卡 等 ) 加 入 系统 中 ; PAM 接口 库 
(Libpam) 则 读 取 配置 文件 ,以 此 为 根据 将 服务 程序 和 相应 的 认证 方法 联系 起 来 ,为 各 种 服 
务 提供 身份 认证 服务 。 

如 图 3-4 所 示 ,PAM 体系 结构 分 为 应 用 层 、 接 口 层 和 服务 层 。 其 中 ,应 用 层 由 需要 进行 
身份 认证 的 应 用 程序 组 成 ; 接口 层 由 PAM API 函数 和 配置 文件 组 成 ,用 于 服务 模块 的 管 
理 和 配置 ; 服务 层 则 由 具体 的 认证 服务 模块 组 成 ,是 进行 身份 认证 的 核心 。PAM API 是 应 
用 程序 和 认证 服务 模块 之 间 的 接口 ,应 用 程序 通过 调用 PAM API 访问 一 组 配置 文件 ,按照 
配置 文件 的 规定 加 载 相应 的 认证 服务 模块 。PAM API 函数 把 认证 请 求 及 参数 传递 给 底层 
的 认证 服务 模块 ,认证 服务 模块 根据 要 求 执行 具体 的 认证 操作 。 当 认证 服务 模块 执行 完 相 
应 的 操作 后 ,将 结果 返回 给 PAM API, 由 PAM API 将 配置 文件 认证 结果 返回 给 应 用 程序 。 

PAM 支持 认证 管理 ,账户 管理 ,会 话 管理 和 口令 管理 4 种 服务 模块 。 其 中 ,认证 
(authentication) 管 理 模 块 主要 接受 用 户 名 和 密码 ,进而 对 该 用 户 的 密码 进行 认证 ,并 负责 
设置 用 户 的 一 些 涉 密 信息 ; 账户 (account) 管 理 主要 是 检查 账户 是 否 被 允许 登录 系统 、 账 号 
是 否 已 经 过 期 .账号 的 登录 时 间 是 否 存在 限制 等 ; 会 话 (session) 管 理 主要 用 来 定义 用 户 登 
录 前 后 所 要 进行 的 操作 ,如 登录 连接 信息 、 用 户 数据 的 打开 与 关闭 , 挂 载 文件 系统 等 ; 口令 
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(password) 管 理 主要 用 来 修改 用 户 的 密码 。 
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图 3-4 PAM 体系 结构 


Linux 的 PAM 配置 可 以 在 “/etc/pam. conf” 文 件 或 “/etc/pam. d/” 目 录 下 进行 ,系统 管 
理 员 可 以 根据 需要 进行 灵活 配置 。 不 过 ,这 两 种 配置 方式 不 能 同时 起 作用 , 即 只 能 使 用 其 中 
一 种 方式 对 PAM 进行 配置 ,一般 为 */etc/pam. d/” 优 先 。 

4. SELinux 

SELinux(Security Enhanced Linux, 安 全 强化 Linux) 是 美国 国家 安全 局 (NSA) 于 2000 
年 正式 发 布 的 ,是 对 于 MAC(Mandatory Access Control, 强 制 访问 控制 系统 ) 的 一 种 实现 ， 
目的 在 于 明确 地 指明 某 个 进程 可 以 访问 哪些 资源 (文件 .网 络 端 口 等 )。SELinux 默认 安装 
在 Fedora、RHEL(Red Hat Enterprise Linux) 等 服务 器 操作 系统 上 ,也 可 以 通过 安装 包 的 
形式 安装 到 其 他 发 行 版 的 Linux 服务 器 系统 上 。 

通过 使 用 MAC 可 以 有 效 地 抵御 0day 攻击 。 例 如 ,目前 很 多 互联 网 上 的 Web 服务 通 
过 在 Linux 系统 上 安装 Apache 服务 来 实现 ,如 果 Apache 存在 漏洞 ,那么 攻击 者 就 可 以 访 
问 Web 服务 器 上 的 敏感 文件 ,如 通过 “/etc/passwd” 来 获得 系统 中 已 有 用 户 。 但 是 ,修复 存 
在 的 安全 漏洞 需要 由 Apache 开发 商 提供 补丁 程序 ,这 需要 一 段 时 间 。 此 时 SELinux 可 以 
发 挥 其 功能 来 弥补 由 该 漏洞 引起 的 安全 攻击 ,因为 “/etc/passwd” 不 具有 Apache 的 访问 标 
签 , 所 以 Apache 对 于 “/etc/passwd” 的 访问 会 被 SELinux 阻止 。 

SELinux 可 以 从 进程 初始 化 继承 和 程序 执行 3 个 方面 通过 安全 策略 进行 控制 ,控制 范 
围 覆 盖 文件 系统 、 目 录 、 文 件 、 文 件 启动 描述 符 、 端 口 .消息 接口 和 网 络 接口 等 。SELinux 安 
全 策略 的 配置 文件 为 /etc/sysconfig/selinux”。 


3.2.3 访问 控制 


访问 控制 技术 的 基本 目标 是 防止 非法 用 户 进 入 系统 和 合法 用 户 对 系统 资源 的 非法 使 
用 。 为 了 达到 这 个 目标 ,访问 控制 通常 以 用 户 身份 认证 为 前 提 , 在 此 基础 上 实施 各 种 访问 控 
制 策略 来 控制 和 规范 合法 用 户 在 系统 中 的 行为 。 


第 3 章 Linux 操作 系统 的 攻防 83 





1. 虚拟 文件 系统 (VFS) 

Linux 支持 Ext/Ext2/Ext3/Ext4、 XIA、MINIX、MSDOS、 FAT32、 NTFS、 PROC、 
STUB、NCP、HPFS、AFFS 等 多 种 文件 系统 ,不 同 的 物理 文件 系统 具有 不 同 的 组 织 结 构 和 
不 同 的 处 理 方式 。 为 了 能 够 处 理 各 种 不 同 的 物理 文件 系统 ,操作 系统 必须 把 它们 所 具有 的 
特性 进行 抽象 ,并 建立 一 个 面向 各 种 物理 文件 系统 的 转换 机 制 。 通 过 这 个 转换 机 制 ,把 各 种 
不 同 的 物理 文件 系统 转换 为 一 个 具有 统一 共性 的 虚拟 文件 系统 。VFS (Virtual File 
System 虚拟 文件 系统 ) 实 际 上 向 Linux 内 核 和 系统 中 运行 的 进程 提供 了 一 个 处 理 各 种 物 
理 文 件 系 统 的 公共 接口 ,通过 这 个 接口 使 不 同 的 物理 文件 系统 看 起 来 都 是 相同 的 。 

VFS 和 各 种 物理 文件 系统 之 间 的 关系 如 图 3-5 所 示 。 从 图 中 可 以 看 出 ,VFS 并 不 是 一 
种 物理 的 文件 系统 , 它 仅 是 一 套 转换 机 制 , 在 系统 启动 时 建立 ,在 系统 关闭 时 消失 ,并 且 仅 存 
在 于 内 存 空 间 。 所 以 ,VFS 并 不 具有 一 般 物理 文件 系统 的 实体 。 在 VFS 提供 的 接口 中 包 
含 向 各 种 物理 文件 系统 转换 用 的 一 系列 数据 结构 (如 VFS 超级 块 ) ,同时 还 包含 对 不 同 物理 
文件 系统 进行 处 理 的 各 种 操作 函数 的 转换 入 口 。 
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图 3-5 VFS 和 各 种 物理 文件 系统 之 间 的 关系 


2. Linux 的 权限 分 配 与 访问 控制 机 制 

在 Linux 操作 系统 中 ,不 仅仅 是 普通 的 文件 ,包括 目录 、 字 符 设备 、 块 设备 、 套 接 字 等 在 
内 的 所 有 类 型 都 以 文件 形式 被 对 待 , 即 “一 切 皆 是 文件 ”。 在 Linux 操作 系统 中 对 所 有 文件 
与 设备 资源 的 访问 控制 都 通过 VFS 来 实现 ,所 以 在 Linux 的 虚拟 文件 系统 安全 模型 中 ,可 
通过 设置 文件 的 相关 属性 来 实现 系统 的 授权 和 访问 控制 。 

为 便于 对 Linux 文件 属性 的 理解 ,图 3-6 是 对 以 root 的 身份 运行 ls-al 命令 后 显示 结果 
的 内 容 说 明 。 下 面 针 对 授权 和 访问 控制 功能 的 实现 ,主要 介绍 文件 属性 字段 的 定义 。 

(1) 类 型 。 其 中 ,“d” 表 示 目 录 ,“-” 表 示 文 件 ,“1” 表 示 连 接 文 件 ,“b” 表 示 设 备 文 件 中 可 
供 存 储 的 接口 设备 ( 即 块 设备 文件 ),“c” 表 示 设 备 文件 中 的 串 行 设备 (如 键盘 、 鼠 标 )。 

(2) 拥有 者 (ownership)。 每 个 Linux 文件 都 有 一 个 拥有 者 ,表明 这 一 文件 归 谁 所 有 。 
拥有 者 以 用 户 IDCUser ID) 及 文件 拥有 者 所 在 的 组 ID(Group ID) 来 标识 。 在 用 户 创建 一 个 
文件 时 ,文件 系统 将 自动 设置 新 文件 的 拥有 者 及 其 所 在 的 组 ,并 自动 分 配给 文件 拥有 者 读 / 
写 (r/w) 权 限 。 文 件 的 拥有 者 可 以 通过 chown 命令 进行 修改 。 
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属性 ”连接 拥有 者 组 文件 大 小 创建 或 修改 时 间 文件 名 





类 型 拥有 者 所 属 组 其 他 用 户 
图 3-6 对 Linux 文 件 显示 内 容 的 说 明 


文件 拥有 者 ,拥有 者 所 属 组 和 其 他 用 户 对 文件 都 可 以 被 分 配 读 (Read)、 写 (Write) 和 执 
行 (eXecute) 权 限 。 其 中 ,“r” 对 文件 来 说 具有 读 取 文件 内 容 的 权限 ,对 目录 而 言 具有 浏览 目 
录 的 权限 ;“w” 对 文件 来 说 具有 新 增 或 修改 文件 内 容 的 权限 ,对 目录 而 言 具有 删除 或 移动 
目录 内 文件 的 权限 ;“x” 对 文件 来 说 具有 执行 文件 的 权限 ,对 目录 而 言 具 有 进入 目录 的 
权限 。 

需要 特别 注意 的 是 “x” 权 限 。 如 果 文 件 名 为 一 个 目录 , 当 需 要 对 其 他 用 户 开 放 该 目录 
时 ,首先 要 开放 该 目录 的 x” 权限 。 如 果 开 放 了 “r” 权 限 , 而 没有 开放 “x” 权 限 ,该 用 户 同 样 无 
法 进入 该 目录 并 读 取 目录 中 的 内 容 。 

需要 说 明 的 是 ,在 Windows 系统 中 ,由 文件 的 扩展 名 决定 了 该 文件 的 性 质 ,如 以 . exe、 
.bat 和 . com 为 扩展 名 的 文件 都 是 可 执行 文件 ; 而 在 Linux 系统 中 ,文件 是 否 能 够 执行 , 则 
是 通过 是 否 拥 有 执行 “x” 权 限 来 决定 的 。 

(3) 所 属 组 和 其 他 用 户 。 在 Linux 系统 中 ,UID 是 代表 拥有 者 的 唯一 标识 。 根 据 管 理 
需要 ,一 个 UID 可 以 指派 到 一 个 或 多 个 GID 中 进行 管理 。 除 拥有 者 和 拥有 者 所 属 组 中 的 
用 户 之 外 的 用 户 , 称 为 其 他 用 户 。 例如, GID 为 studentgroup 的 组 中 存在 studentl、 
student2 和 student3 共 3 个 用 户 ( 拥 有 者 ) ,如果 studentl 对 某 一 文件 拥有 “-rwxrwx---” 属 
性 ,那么 student2 和 student3 同样 会 拥有 该 属性 .因为 这 3 个 用 户 同属 于 一 个 组 
studentgroup。 其 他 用 户 将 不 会 拥有 对 该 文件 的 -rwxrwx--" 属 性 。 

例如 ,通过 ls -1 命令 来 显示 myfile 文件 的 信息 ,显示 为 “-rwxr-x-- 1 foot staff 7734 
Apr 08 14:27 myfile”。 

其 中 ,“myfile” 表 示 普 通 文件 ,文件 的 拥有 者 是 foot 用 户 , 而 foot 用 户 属于 staff 组 , 文 
件 只 有 一 个 连接 ,文件 长 度 是 7734 字 节 ,最 后 修改 时 间 为 4 月 8 日 14:27。 拥 有 者 foot 对 
文件 有 读 、 写 和 执行 权限 ,staff 组 的 成 员 对 文件 有 读 和 执行 权限 ,其 他 的 用 户 对 这 个 文件 没 
有 权限 。 

通过 以 上 介绍 可 以 看 出 ,Linux 系统 中 的 每 一 个 文件 在 具有 了 拥有 者 和 访问 权限 之 后 ， 
系统 将 会 通过 VFS 来 对 每 一 次 针对 该 文件 的 操作 请 求 进行 访问 控制 。 通 过 获取 该 文件 的 
拥有 者 及 访问 权限 信息 ,来 决定 该 操作 请 求 者 是 否 拥有 读 、 写 和 执行 权限 。 如 果 请 求 得 到 许 
可 , 则 依据 具体 的 权限 分 配对 该 文件 进行 相关 的 操作 ; 否则 ,显示 “Permission deny”( 权 限 
受 限 ) 提 示 。 
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(4) SUID 和 SGID。SUID(Set User ID) 和 SGID(Set Group ID) 表 示 对 文件 属性 的 拥 
有 者 或 拥有 者 所 属 组 的 执行 (x) 权 限 的 “特殊 ”设置 ,即将 原来 的 执行 (x) 位 修改 为 “s" 位 ,如 
“-rwsr-xr-x” 表 示 SUID 和 拥有 者 权限 中 可 执行 位 被 设置 ,“-rw-r-sr 一 ”表示 SGID 被 设置 ， 
但 所 属 组 中 的 用 户 权 限 中 的 执行 位 没有 被 设置 。 

SUID 权限 允许 可 执行 文件 在 运行 时 从 运行 者 的 当前 身份 提 权 至 文件 拥有 者 的 权限 ， 
可 以 任意 访问 文件 拥有 者 的 全 部 资源 。 例 如 , 当 某 一 程序 的 文件 拥有 者 为 Root, 且 设置 了 
SUID 和 拥有 权限 中 可 执行 位 时 ,该 程序 就 拥有 了 Root 所 具有 的 特权 权限 ,“/bin/login” 文 
件 就 是 设置 了 SUID 位 ,并 且 为 Root 拥有 的 可 执行 程序 。 

针对 SUID 和 SGID 的 特点 ,一 旦 一 些 程序 存在 安全 漏洞 且 被 利用 ,就 可 以 发 起 对 系统 
的 攻击 ,尤其 是 在 提升 攻击 者 的 权限 获得 Root 访问 特权 后 ,就 可 以 Root 的 身份 对 系统 进 
行 任意 操作 。 例 如 ,攻击 者 在 提 权 到 Root 后 ,就 可 以 对 系统 植 人 木马 ,并 将 木马 程序 设置 
上 SUID 位 和 Root 拥有 ,随时 发 起 对 系统 的 攻击 。 

SGID 位 与 SUID 位 的 功能 类 似 ,设置 了 SGID 位 的 程序 执行 时 是 以 拥有 者 所 属 组 的 权 
限 运 行 的 ,该 程序 就 可 以 任意 访问 整个 组 能 够 使 用 的 资源 了 。 


3.2.4 Linux 的 日 志 


Linux 提供 了 丰富 的 日 志 功 能 用 于 记录 和 查看 应 用 程序 的 各 种 信息 。 大 部 分 发 行 版 本 
中 ,Linux 系统 的 日 志 服务 由 日 志 守护 进程 syslog 管理 ，syslog 位 于 /etc/syslog/” etc/ 
syslogd” 或 “/etc/rsyslog. d" 中 ,默认 配置 文件 为 "/etc/syslog. conf ”或 “rsyslog. conf”, 当 某 
一 程序 要 生成 日 志 时 都 需要 通过 配置 向 syslog 发 送信 息 。 例 如 ,Linux 系统 内 核 和 许多 程 
序 会 产生 各 种 错误 信息 、 警 告 信息 和 其 他 的 提示 信息 ,这 些 信 息 对 系统 管理 员 了 解 系统 的 运 
行 状 态 是 非常 有 帮助 的 ,一 般 都 需要 通过 syslog 将 其 记录 到 日 志文 件 中 。 默 认 配置 下 ,日 
志文 件 通常 都 保存 在 /var/log” 目 录 下 。 表 3-1 列 出 了 由 syslog 管理 的 常用 日 志文 件 及 其 
说 明 。 

表 3-1 由 syslog 管理 的 常用 日 志文 件 及 其 说 明 
日 志文 件 功能 说 明 
/var/log/boot. log 记录 了 系统 在 引导 过 程 中 发 生 的 事件 , 即 Linux 系统 开机 自 检 过 程 显示 的 信息 


/var/log/lastlog 记录 了 最 后 一 次 用 户 成 功 登录 的 时 间 、 登 录 时 使 用 的 IP 等 信息 
/var/log/messages 记录 Linux 操作 系统 常见 的 系统 和 服务 错误 信息 


























/var/log/secure Linux 系统 安全 日 志 , 记 录 了 用 户 和 组 变化 情况 、 用 户 登录 认证 情况 等 
/var/log/btmp 记录 Linux 登录 失败 的 用 户 .时 间 及 尝试 登录 时 使 用 的 IP 地 址 等 信息 
/var/log/syslog 只 记录 警告 信息 ,主要 是 系统 出 问题 的 信息 ,可 通过 lastlog 命令 查看 

永久 记录 了 每 个 用 户 登录 、 注 销 及 系统 的 启动 、 停 机 的 事件 ,可 使 用 last 命令 
/var/log/wtmp 查看 

记录 了 有 关 当 前 登录 的 每 个 用 户 的 信息 ,如 who、w、users、finger 等 就 需要 访问 
/var/run/utmp 这 个 文件 





另外,“/var/log/syslog” 或 /var/log/messages” 文 件 用 于 存储 所 有 的 全 局 系统 活动 数 
据 , 包 括 开 机 信息 等 。 其 中 ,基于 Debian 的 系统 (如 Ubuntu) 在 /var/log/syslog” 文 件 中 存 
储 日 志 信 息 ,而 基于 RedHat 的 系统 (如 RHEL、CentOS 等 ) 则 在 “/var/log/messages ”文件 


86 网 络 攻击 与 防御 技术 





中 存储 日 志 信 息 。“/var/log/auth. log? 或 “/var/log/secure" 文 件 存储 来 自 可 插入 身份 认证 
模块 (PAM) 的 日 志 , 包 括 已 成 功 的 登录 、 失 败 的 登录 尝试 和 认证 方式 等 。Ubuntu 和 Debian 
在 “/var/log/auth. log” 文 件 中 存储 认证 信息 ,而 RedHat 和 CentOS 则 在 /var/log/secure” 
文件 中 存储 该 信息 。 

多 数 基于 Linux 环境 的 应 用 程序 都 提供 了 功能 丰富 的 日 志 记录 ,用 于 记录 主要 事件 与 
出 错 信息 ,以 加 强 对 程序 运行 的 监管 。 例 如 , Apache 程序 的 访问 日 志 (access_log) 记 录 了 
HTTP 访问 的 相关 信息 ,通过 漏洞 扫描 可 以 从 中 发 现 系统 存在 的 安全 缺陷 ,通过 对 这 些 安 
全 缺陷 的 利用 就 可 以 达到 远程 人 侵 的 目的 。 


3.3 Linux 系统 的 远程 攻防 技术 


与 针对 Windows 系统 的 攻防 相似 ,针对 Linux 系统 的 网 络 攻防 技术 同样 包括 收集 目标 
Linux 主机 的 信息 发现 安全 漏洞 ,利用 安全 漏洞 远程 获取 Linux 主机 的 Shell 访问 权 、 提 权 
至 Root 用 户 权限 .实施 攻击 行为 等 步骤 。 本 节 主 要 介绍 各 个 步骤 的 主要 实现 方法 。 


3.3.1 Linux 主机 账户 信息 的 获取 


由 于 Linux 系统 所 具有 的 可 靠 性 和 稳定 性 ,互联 网 上 的 FTP .邮件 .Web 等 大 量 的 应 用 
服务 多 采用 Linux 系统 来 提供 。 针 对 这 些 应 用 服务 的 网 络 攻 击 ,多 通过 收集 目标 主机 的 远 
程 登录 账户 信息 (用 户 名 十 口令 ) 来 实现 。 

1. 远程 登录 账户 信息 的 获取 

获取 远程 登录 用 户 的 账户 信息 是 实施 远程 人 侵 的 关键 ,为 此 ,攻击 者 在 确定 了 被 攻击 的 
目标 后 ,需要 通过 各 种 方法 获得 登录 的 用 户 名 和 密码 。 为 实现 这 一 目的 ,最 高 效 的 办 法 是 在 
直接 获取 保存 远程 登录 账户 信息 的 文件 (/etc/passwd 和 etc/shadow) 后 ,从 文件 中 取得 用 
户 名 和 密码 。 很 显然 ,这 一 过 程 是 很 难 实现 的 ,因为 出 于 安全 考虑 ,Linux 系统 对 保存 用 户 
账户 信息 的 文件 从 存储 和 访问 控制 等 方面 都 设置 了 严格 的 管理 权限 ,只 有 Root 用 户 才 能 
读 取 ,而 要 获取 Root 用 户 的 权限 则 需要 获得 其 密码 。 

在 具体 网 络 攻防 中 ,多 通过 口令 猜测 或 暴力 破解 等 攻击 手段 来 获取 远程 登录 账户 的 信 
息 。 一 般 过 程 是 : 先 利用 Linux 系统 上 的 rusers、sendmail, finger 等 服务 来 获取 被 攻击 
Linux 主机 上 的 用 户 名 ; 然后 再 通过 猜测 (针对 弱 口 令 )、 字 典 攻 击 、 暴 力 破 解 等 方式 来 获得 
对 应 的 密码 。 其 中 ,由 于 Root 账户 的 重要 性 ,利用 该 方法 获得 其 登录 密码 几乎 成 为 所 有 攻 
击 者 的 关注 目标 。 

除了 系统 账户 信息 外 , HTTP/HTTPS、FTP、SNMT、POP3/SMTP、MySQL 等 基于 
Linux 系统 的 各 类 网 络 服务 所 拥有 的 管理 账户 信息 也 是 攻击 者 关注 的 焦点 。 不 过 ,与 系统 
账户 不 同 的 是 ,这 些 网 络 服务 的 管理 账户 的 操作 一 般 会 被 限制 在 一 定 的 范围 之 内 。 例 如 ， 
Apache 是 Linux 系统 上 使 用 最 为 广泛 的 HTTP 服务 ,攻击 者 在 获得 管理 员 账 户 信息 后 ,就 
可 以 对 发 布 的 Web 站 点 目录 文件 进行 读 取 或 修改 ,利用 可 以 上 传 PHP 后 门 程序 的 权限 , 达 
到 修改 Web 主页 或 上 传 木马 的 目的 。 
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2. 远程 登录 账户 的 防范 方法 

与 Windows 系统 中 用 户 账 户 信息 的 安全 管理 类 似 , 在 Linux 系统 中 要 防御 针对 远程 登 
录 账 户 的 攻击 ,仍然 需要 从 用 户 名 和 密码 两 方面 人手 ,加 强 对 用 户 账户 信息 的 管理 。 主 要 包 
括 以 下 几 方 面 。 

(1) 为 不 同 的 管理 员 分 配 不 同 的 管理 账户 ,而 不 是 共同 使 用 Root 账户 。 

(2) 限制 Root 等 特权 账户 的 远程 登录 功能 ,只 允许 其 本 地 登录 。 如 果 部 分 特权 账户 需 
要 进行 远程 登录 ,可 使 用 普遍 账户 登录 后 再 通过 su 命令 提 权 ,su 命令 的 密码 功能 可 以 增强 
登录 账户 的 安全 性 。 

(3) 限制 尝试 登录 次 数 ,对 多 次 登录 失败 的 账户 进行 锁定 并 记录 其 信息 。 

(4) 密码 设置 符合 复杂 性 要 求 , 即 密码 不 少 于 8 个 字符 ,字符 包含 字母 ,数字 和 特殊 符 
号 (如 $ 、@、 等 )。 

最 有 效 的 安全 防范 方法 是 利用 基于 PKI(Public Key Infrastructure, 公 钥 密 钥 基 础 设 
施 ) 技 术 的 身份 认证 机 制 来 替代 传统 的 “用 户 名 十 口令 ”方式 ,同时 将 一 些 安全 风险 较 高 的 服 
务 ( 如 SSH) 设 置 到 非 熟知 端口 上 ,以 减少 口令 攻击 的 可 能 性 。 


3.3.2 Linux 主机 的 远程 渗透 攻击 


远程 渗透 攻击 的 实现 主要 依赖 于 目标 主机 上 存在 的 各 类 安全 漏洞 。 所 以 , 当 攻 击 者 要 
对 某 一 目标 主机 进行 远程 渗透 攻击 前 ,首先 要 收集 目标 主机 的 相关 信息 ,并 分 析 是 否 存 在 安 
全 漏洞 。 如 果 存 在 安全 漏洞 , 才 考虑 如 何 去 利 用 。 为 此 ,从 攻防 角度 分 析 ,发现 安 全 漏洞 是 
实施 攻击 的 前 提 , 而 及 时 修补 安全 漏洞 是 进行 防范 的 基础 。 

1. Linux 安全 漏洞 及 利用 

漏洞 的 普遍 性 及 其 后 果 的 严重 性 促使 研究 人 员 将 更 多 注意 力 集中 于 漏洞 相关 技术 的 研 
究 上 ,包括 漏洞 检测 发现/ 挖掘 ) 漏洞 特性 分 析 、` 漏 洞 定位 、 漏 洞 利用 、 漏 洞 消 控 等 。Linux 
作为 一 个 开放 源 代 码 的 操作 系统 , 较 之 闭 源 的 Windows 操作 系统 ,研究 人 员 可 以 从 源 代码 
分 析 过 程 中 发 现 漏洞 ,并 利用 其 开源 性 进行 及 时 修复 。 然 而 ,也 存在 一 些 漏洞 在 发 现 之 后 未 
能 及 时 发 布 补丁 程序 ,而 是 被 用 于 渗透 攻击 的 现象 。 

与 Windows 系统 相 比 较 , Linux 系统 的 安全 漏洞 相对 较 少 .但 由 于 Linux 系统 在 网 络 
服务 应 用 领域 占有 较 高 的 比例 ,所 以 其 安全 漏洞 存在 的 风险 和 威胁 更 为 严重 。 例如, RHEL 
Linux 系统 内 核 网 络 协议 栈 实 现 (net/ipv4/udp. c) 中 存在 一 个 远程 拒绝 服务 安全 漏洞 
(CVE-2010-4161) ,攻击 者 通过 向 目标 主机 上 任意 开放 的 UDP 端口 发 送 一 个 特殊 构造 的 
UDP 数据 包 , 就 可 以 发 起 对 目标 主机 的 DoS 攻击 。Linux 系统 的 每 个 网 络 服务 都 依赖 于 内 
核 中 的 网 络 协议 栈 实 现 , 一 旦 这 些 实现 代码 中 存在 具有 远程 代码 执行 危害 后 果 的 安全 漏洞 ， 
不 管 Linux 系统 开放 什么 服务 ,都 可 能 被 攻击 者 用 于 实施 远程 渗透 攻击 。 

LAMP(Linux/Apache/MySQL/PHP) 是 目前 互联 网 上 应 用 最 为 广泛 的 Web 站 点 解 
决 方案 , 即 以 Linux 操作 系统 作为 网 站 运行 的 服务 器 基础 平台 ,以 Apache 提供 的 HTTP/ 
HTTPS 作为 Web 服务 ,以 MySQL 数据 管理 系统 作为 Web 应 用 程序 的 后 台数 据 库 ,以 
PHP 诸 言 作为 Web 应 用 程序 的 开发 语言 。 在 这 种 高 效 的 LAMP 组 合 中 ,一 旦 任何 一 个 组 
件 存在 安全 漏洞 ,都 会 被 利用 进行 目标 主机 的 远程 渗透 攻击 。 例 如 ,早期 Apache mod_ 
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rewrite 模块 中 存在 对 LDAP 协议 URL 处 理 过 程 中 的 溢出 漏洞 CCVE-2006-3747) ,可 以 对 
Web 服务 器 通过 TCP 80 端口 进行 远程 溢出 攻击 ,从 而 获得 Web 服务 器 的 本 地 访问 权 。 又 
如 ,MySQL:sha256_password 认证 长 密码 拒绝 服务 式 攻 击 漏洞 (CCVE-2018-2696) ,该 漏洞 
源 于 MySQL sha256_password 认证 插件 ,该 插件 没有 对 认证 密码 的 长 度 进行 限制 ,而 直接 
传 给 my_crypt_genhash() ,用 SHA256 对 密码 加 密 求 喻 希 值 。 该 过 程 需要 大 量 的 CPU 计 
算 , 如 果 传 递 一 个 很 长 的 密码 时 ,会 导致 CPU 耗 尽 ; 还 有 ,利用 PHP HTTP_PROXY 环境 
变量 安全 漏洞 (CVE-2016-5385) 中 HTTP_PROXY 环境 变量 未 能 过 滤 构造 的 客户 端 数据 
这 一 缺陷 ,远程 攻击 者 通过 构造 HTTP 请 求 的 Proxy 标 头 ,可 将 HTTP 数据 流 重 定向 到 任 
意 的 代理 服务 器 。 除 此 之 外 ,运行 于 Linux 平台 的 FTP、Samba Sendmail 等 服务 对 应 的 各 
类 软件 ,都 被 发 现存 在 不 同 程度 的 安全 漏洞 。 

2. 针对 远程 渗透 攻击 的 防范 方法 

由 于 远程 渗透 攻击 的 实现 主要 利用 了 被 攻击 目标 主机 存在 的 安全 漏洞 ,所 以 加 强 安全 
漏洞 的 检测 和 修补 是 防范 攻击 的 基础 。 

(1) 只 开启 需要 的 服务 。 网 络 远 程 渗 透 攻 击 中 需要 借助 主机 上 开启 的 服务 , 即 利 用 服 
务 存在 的 漏洞 实施 攻击 。 开 启 服务 需要 同时 启用 服务 进程 ,并 打开 对 应 的 端口 。 对 于 互联 
网 上 的 服务 器 来 说 ,只 需要 开启 与 业务 相关 的 最 基本 的 网 络 服务 ,其 他 的 服务 应 全 部 禁用 。 

(2) 使 用 安全 性 高 的 服务 软件 。 互 联网 上 的 一 个 协议 一 般 会 同时 对 应 多 款 服 务 软件 ， 
虽然 每 一 款 软件 的 基本 功能 都 是 基于 相同 的 协议 标准 来 开发 的 ,但 代表 各 自 特 点 的 扩展 功 
能 可 能 不 尽 相 同 。 同 时 每 一 款 软件 的 应 用 表现 也 不 完全 一 致 ,有 些 软件 注重 操作 的 友好 性 
却 忽 视 了 安全 性 ,而 有 些 软件 有 可 能 在 强调 安全 性 的 同时 使 易 操 作 性 不 尽 如 人 意 。 例 如 ， 
Linux 系统 中 可 以 分 别 通过 Apache、Nginx、Tomcat 来 提供 HTTP 网 络 服务 ,这 3 款 软件 
虽然 都 提供 Web 服务 功能 ,但 其 应 用 特点 不 尽 相 同 。 其 中 ,Apache 不 但 可 跨 平 台 运行 (可 
运行 于 UNIX、Linux 和 Windows 系统 中 ) ,还 具有 较 高 的 安全 性 ,以 及 拥有 快速 可靠、 简 
单 的 API 扩 展 ,是 互联 网 上 使 用 最 多 的 Web 服务 软件 ; Nginx 作为 一 款 轻 量 级 的 网 站 服务 
软件 ,具有 很 好 的 稳定 性 和 丰富 的 功能 , 且 占 用 系统 资源 较 少 ; Tomcat 属于 轻 量 级 的 Web 
服务 软件 ,一 般 用 于 开发 和 调试 JSP 代码 ,通常 认为 Tomcat 是 Apache 的 扩展 程序 。 作 为 
Web 服务 器 ,如 果 追 求 性 能 可 以 选择 Nginx, 而 如 果 强 调 安全 性 则 选择 Apache。 出 于 安全 
考虑 ,在 应 用 功能 能 够 满足 需求 的 前 提 下 ,应 尽 可 能 选择 安全 性 高 的 服务 软件 。 

(3) 及 时 更 新 软件 。 及 时 更 新 软件 可 以 增加 软件 自身 的 新 功能 ,解决 以 前 版 本 的 漏洞 
或 缺陷 ,增加 软件 的 稳定 性 和 对 新 的 操作 系统 提供 更 好 的 支持 等 ,尤其 是 对 发 现 的 软件 安全 
漏洞 需要 进行 及 时 修补 。 例 如 ,在 RHEL、CentOS、Fedora Core 等 Red Hat 系列 Linux 发 
行 版 本 中 ,可 以 通过 “yum update” 命 令 来 将 软件 更 新 到 最 新 版 本 ,并 通过 “chkconfig-level 3 
yum on” 命 令 来 激活 “/etc/cron. daily/yum. cron”, 再 通过 Crond 服务 来 配置 系统 的 自动 更 
新 时 间 。 需 要 注意 的 是 ,在 进行 软件 版 本 升级 前 ,需要 对 服务 软件 在 新 版 本 环境 中 进行 测 
试 ,测试 无 误 后 再 升级 ,因为 在 旧版 本 下 运行 良好 的 软件 不 一 定 会 适应 新 版 本 的 要 求 。 

(4) 设置 访问 控制 机 制 。Linux 系统 在 启动 时 需要 开启 一 些 系统 服务 ,如 何 根据 需要 
开启 相应 的 服务 ,并 禁用 不 需要 的 服务 ,不 但 可 以 有 效 地 利用 系统 的 资源 .更 有 利于 系统 的 
安全 。Linux 系统 提供 了 一 个 被 称 为 “超级 守护 进程 ”的 xinetd (eXtended InterNET 
Daemon) 工 具 。 在 系统 启动 时 由 xinted 来 负责 统一 管理 需要 启动 的 进程 ,在 系统 启动 后 ， 
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当 相 应 请 求 到 来 时 需要 通过 xinetd 的 转 接 来 唤醒 被 xinetd 管理 的 进程 。 同 时 ,xinetd 内 建 
了 基于 远程 主机 地 址 、 网 段 及 域名 的 访问 控制 机 制 , 并 支持 分 时 间 段 的 访问 控制 。 另 外 ， 
xinetd 还 能 够 限制 服务 并 发 运行 数 、 服 务 进 程 数 和 同一 主机 的 最 大 网 络 连接 数 ,此 功能 可 以 
有 效 地 缓解 对 主机 的 DoS 攻击 。 还 有 ,xinetd 支持 将 网 络 服务 绑 定 到 指定 的 网 络 接口 与 监 
听 端 口上 ,以 降低 被 扫描 和 攻击 的 风险 。 除 xinetd 工具 之 外 ,Linux 系统 集成 的 netfilter/ 
iptables 防火 墙 解决 方案 可 以 有 效 地 加 强 对 网 络 边界 的 安全 管理 。 


3.3.3 DNS 服务 器 的 攻防 


DNS(Domain Name System ,域名 系统 ) 是 互联 网 中 绝 大 多 数 应 用 的 实际 寻 址 方式 , 域 
名 是 互联 网 上 的 身份 标识 ,是 不 可 重复 的 唯一 标识 资源 。DNS 以 其 操作 的 便捷 性 在 丰富 了 
互联 网 应 用 的 同时 , 因 其 在 互联 网 应 用 中 的 重要 性 ,已 成 为 网 络 攻击 的 主要 对 象 。 

1. BIND 介绍 


BIND(Berkeley Internet Name Domain) 是 互联 网 上 使 用 最 为 广泛 的 域名 解析 软件 , 目 
前 有 90% 以 上 的 域名 服务 器 都 使 用 BIND 来 解析 。BIND 由 加 州 大 学 伯克利 分 校 开 发 , 目 
前 有 BIND 8.x 和 BIND 9. x 这 两 个 不 同 发 展 方向 的 版 本 ,其 中 BIND 8. x 中 融合 了 许多 提 
高 效率 .增强 稳定 性 和 安全 性 的 技术 ; 而 BIND 9. x 则 增加 了 一 些 新 的 应 用 功能 ,如 支持 
IPv6、 提 供 公开 密 钥 加 密 、 支 持 多 处 理 器 ,提供 线程 安全 操作 提供 增 量 区 传送 等 。 从 BIND 
9. x 开始 支持 View 功能 ,利用 BIND 9. x 中 的 View, 在 具体 配置 中 通过 View 与 ACL 的 协 
同 工 作 , 以 实现 根据 用 户 源 IP 地 址 智能 解析 对 应 服务 器 的 IP 地 址 的 功能 。 如 果 要 使 同一 
个 域名 指向 不 同 的 3 个 网 域 , 只 需要 在 named. conf 文件 中 通过 ACL 定义 3 个 不 同 的 网 域 ， 
即 View 分 别 指向 同一 个 域名 的 3 个 不 同 的 网 域 ,之 后 当 处 于 不 同 View 中 的 用 户 访问 这 个 
域名 时 ,将 通过 BIND 解析 到 不 同 网 域 对 应 的 IP 地 址 ,从 而 实现 了 DNS 的 智能 解析 功能 。 
BIND 9. x 的 最 新 版 本 可 在 http://www. isc. org 中 下 载 使 用 。 

BIND 通过 对 区 文件 (zone file) 的 管理 实现 对 DDNS(Dynamic Domain Name Server， 
动态 域名 服务 ) 的 域名 授权 和 查询 , BIND 的 组 成 结构 如 图 3-7 所 示 。 其 中 ,named 进程 是 
BIND 服务 器 的 核心 ,named 启动 时 读 取 初 始 化 文件 named. conf 并 配置 数据 文件 。 当 DNS 
客户 端的 解析 器 发 出 DNS 解析 请 求 时 ,由 named 进程 将 查询 结果 ( 即 域名 对 应 的 IP 地 址 ) 
发 送 给 客户 端 。named. conf 把 所 有 区 文件 绑 定 在 一 起 ,以 便 named 进程 可 以 根据 域名 查询 
要 求 通过 named. conf 中 的 记录 来 读 取 区 文件 。 作 为 网 络 应 用 中 的 关键 服务 ,named 进程 在 
工作 过 程 中 也 会 根据 BIND 的 配置 提供 日 志 记 录 。 
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图 3-7 BIND 的 组 成 结构 
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2. 一 个 典型 的 DNS 攻击 过 程 分 析 

2009 年 5 月 19 日 晚 , 受 暴 风 影 音 软件 存在 的 设计 缺陷 及 免费 智能 DNS 软件 DNSPod 
的 不 健壮 性 影响 ,黑客 通过 僵尸 网 络 控制 下 的 DDoS 攻击 ,致使 我 国 江苏 .安徽 广西 海南、 
甘肃 ,浙江 等 省 在 内 的 23 个 省 出 现 军 见 的 断 网 故障 , 即 “5。19 断 网 事件 ”。 这 一 事件 告 诚 
人 们 : 在 互联 网 中 , 越 是 由 基础 服务 产生 的 安全 威胁 ,影响 力 越 大 ,范围 越 广 。 作 为 互联 网 
基础 服务 的 DNS, 每 天 有 海量 的 域名 解析 信息 产生 ,其 个 体 的 安全 性 已 经 直接 影响 着 互联 
网 的 安全 。 与 此 同时 , 随 着 网 络 应 用 的 不 断 复 杂 化 , 当 潜在 的 条 条 安全 暗流 通过 某 种 规则 汇 
集 在 一 起 时 ,所 形成 的 巨 浪 足以 使 正常 的 网 络 运 行 秩序 产生 混乱 直至 瘫痪 。“5。19 断 网 事 
件 ” 再 次 引起 了 人 们 对 DNS 服务 及 其 相关 安全 威胁 的 关注 。 在 这 一 事件 中 ,僵尸 网 络 控制 
下 的 DDoS 攻击 是 问题 产生 的 根源 ,免费 软件 的 后 门 是 问题 产生 的 诱因 ,DNS 服务 的 脆弱 
性 是 问题 产生 的 关键 ,而 DDoS 攻击 、 软 件 后 门 及 DNS 服务 之 间 的 内 在 关联 是 这 一 事件 得 
以 发 生 的 潜在 因素 。 

“5。19 断 网 事件 ”是 多 种 综合 因素 产生 的 结果 ,其 攻击 过 程 示意 图 如 图 3-8 所 示 , 具 体 
实现 步骤 如 下 。 
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表示 对 *.baofeng.com 的 正常 域名 解析 
------ > ”表示 DNSPod 瘫 痪 后 对 *.baofeng.com 的 域名 解析 
一 x 一 = ”表示 正常 用 户 的 域名 解析 被 拒绝 


图 3-8 “5 .19 断 网 事件 ”攻击 过 程 示 意图 
@ 攻击 者 (黑客 ) 通 过 控制 互联 网 上 大 量 的 “肉鸡 ”( 被 僵尸 网 络 控 制 的 计算 机 ) 向 免费 
动态 DNS 服务 器 DNSPod 发 起 DDoS 攻击 ,使 DNSPod 服务 器 无 法 为 正常 用 户 提供 域名 


解析 服务 ,直至 瘫痪 。 
@) 因为 暴风 影音 网 站 (*. baofeng. comy) 的 域名 解析 使 用 的 是 DNSPod 服务 器 , 当 
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DNSPod 服务 器 被 攻击 瘫痪 后 ,根据 域名 解析 的 递归 机 制 ,所 有 客户 端 对 *. baofeng. com 
网 站 的 解析 请 求 将 被 转向 DNSPod 服务 器 的 上 一 级 DNS 服务 器 (电信 运营 商 DNS 服 
务 器 ) 。 

@ 由 于 暴风 影音 软件 存在 的 后 门 ( 也 称 为 “ 流 谍 化 ”行为 ) ,大 量 安装 了 暴风 影音 软件 的 用 
户 计算 机 在 联网 后 ,不 管 是 否 启用 了 暴风 影音 软件 ,都 会 自动 在 后 台 尝试 连接 * . baofeng. com 
网 站 ,并 且 在 得 不 到 应 答 的 情况 下 , 便 向 电信 运营 商 DNS 服务 器 连续 发 送 大 量 的 域名 解析 
请 求 报 文 ( 据 称 每 分 钟 发 送 100 次 以 上 ) ,流量 达到 10GB 左右 。 

@ 虽然 电信 运营 商 DNS 服务 器 进行 了 分 布 式 部 署 ,但 大 部 分 省 份 的 DNS 递归 服务 器 
无 法 承受 如 此 巨大 的 域名 解析 请 求 报 文 , 导 致 服务 器 CPU 内存 资 源 耗 尽 , 既 无 法 正常 解析 
* . baofeng. com 域名 ,也 无 法 解析 非 * . baofeng. com 域名 ,这 些 DNS 服务 器 处 于 瘫痪 

@ 除 直接 使 用 IP 地 址 外 (这 种 现象 很 少 ) , 绝 大 多 数 互联 网 用 户 的 DNS 域名 解析 请 求 
得 不 到 响应 ,从 而 产生 断 网 现象 。 

下 面 对 该 事件 进行 具体 分 析 。 

(1) 僵尸 网 络 控制 下 的 DDoS 攻击 。 伪 尸 网 络 控制 下 的 DDoS 攻击 是 这 一 事件 得 以 爆 
发 的 根源 。 伪 尸 网 络 (Botnet) 是 一 种 从 传统 恶意 代码 转化 形成 的 新 型 攻击 方式 , 它 采 用 多 
种 传播 机 制 ,使 僵尸 程序 感染 互联 网 上 的 大 量 主机 ,并 通过 一 对 多 的 命令 与 控制 信道 ,控制 
大 量 僵尸 主机 (Botb) 实 现 分 布 式 拒绝 服务 (DDoS) 攻 击 、 信 息 窃 取 、 发 送 垃圾 邮件 (Spamy) 等 
恶意 网 络 行为 。 

DDoS 攻击 的 基本 原理 是 黑客 通过 入 侵 并 控制 大 量 的 主 控 端 (Handler) 主机 (俗称 " 肉 
鸡 ”) ,并 通过 主 控 端 上 的 代理 程序 (Agent) 同 时 对 被 攻击 者 (Target) 发 起 流量 攻击 。 由 于 
DDoS 攻击 是 利用 合理 的 服务 请 求 来 占用 有 限 的 服务 资源 ,从 而 使 合法 用 户 无 法 得 到 服务 
的 响应 ,因此 DDoS 攻击 已 成 为 目前 互联 网 上 黑客 经 常 采 用 的 攻击 手段 ,也 是 用 户 很 难 防 范 
的 一 类 网 络 威胁 。 

由 于 DNS 服务 的 开放 性 ,黑客 可 以 通过 “肉鸡 "上 的 代理 向 DNS 服务 器 发 起 大 量 的 
DNS 查询 请 求 。 黑 客 为 了 藏匿 攻击 者 (一 般 为 代理 ) 的 真实 身份 ,会 伪造 DNS 请 求 报 文中 
的 源 地 址 。 在 “5。19 断 网 事件 ”中 ,黑客 通过 控制 的 僵尸 网 络 ,利用 互联 网 上 数量 庞大 的 
“肉鸡 ”, 对 DNSPod 服务 器 进行 攻击 ,流量 达到 10GB 左右 。 如 此 巨大 的 流量 足以 使 互联 网 
中 的 任何 主机 被 淹没 ,造成 被 攻击 主机 无 法 提供 网 络 服务 ,直至 瘫痪 。 

(2) 网 际 间 互 联 互通 及 相关 问题 。 在 “5。19 断 网 事件 ”发 生 后 ,不 少 人 将 矛头 指向 了 
提供 免费 DNS 解析 的 DNSPod 服务 器 ,认为 是 DNSPod 服务 器 的 不 健壮 性 和 私人 DNS 服 
务 器 提供 商 之 间 的 恶意 竞争 直接 导致 了 这 一 事件 的 发 生 。 其 实 , 持 此 观点 者 忽视 了 一 个 重 
要 的 问题 : 我 国 互联 网 络 存在 的 网 际 间 互 联 互通 问题 。 

目前 ,国内 多 个 运营 商 并 存 , 各 大 运营 商 之 间 出 于 商业 的 竞争 ,在 不 同 的 网 络 之 间 人 为 
设置 了 访问 上 的 障碍 ,致使 不 同 网 络 用 户 访问 非 本 运营 商 网 络 内 的 主机 时 出 现 访问 速度 慢 
或 无 法 访问 等 问题 。 这 种 “网 中 网 ”格局 已 严重 影响 了 国内 互联 网 的 健康 有 序 发 展 ,与 可 持 
续 发 展 的 大 局 相 违 背 。 为 了 解决 互联 互通 的 问题 ,许多 单位 的 无 奈 之 举 是 采取 了 多 出 口 方 
案 。 这 种 方案 在 国内 高 校 校园 网 的 应 用 中 更 加 普遍 , 据 相 关 资 料 统计 ,目前 80% 左 右 的 高 
校 都 使 用 多 出 口 接 人 方式 ,其 中 部 分 出 口 多 达 三 四 条 。 
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存在 互联 互通 这 一 问题 ,就 不 难 理解 DNSPod 为 什么 会 受到 用 户 的 普遍 青睐 。 
DNSPod 是 国内 较 早 提供 免费 智能 域名 解析 服务 的 私人 DNS 服务 器 ,为 各 类 网 站 提供 电 
信 、 网 通 、 教 育 网 双 线 或 者 三 线 智 能 DNS 免费 解析 服务 .解决 不 同 运营 商 网 络 之 间 访问 时 的 
互联 互通 问题 。 目 前 DNSPod 已 经 管理 着 超过 10 多 万 用 户 和 20 多 万 域名 ,平均 每 天 的 请 
求 量 超过 20 亿 次 ,其 用 户 包 括 许多 国内 的 知名 网 站 。 

为 此 ,在 分 析 *“5。19 断 网 事件 ”中 的 DNS 查询 服务 时 ,不 能 只 看 到 DNSPod 的 不 安全 
性 和 不 可 靠 性 ,对 为 什么 在 互联 网 中 会 出 现 类 似 DNSPod 的 免费 智能 域名 解析 服务 器 需要 
进行 思考 。 其 实 DNSPod 仅仅 是 事件 的 触发 点 ,而 事件 的 本 因 则 是 国内 网 际 互联 互通 中 游 
戏 规则 的 缺失 及 不 同 运营 商 之 间 的 恶性 竞争 。 试想, 如 果 国 内 电信 运营 商 之 间 没 有 将 不 同 
的 用 户 群 进行 人 为 的 割裂 ,如 果 国 内 电信 运营 商 也 能 提供 类 似 的 免费 智能 DNS 解析 服务 ， 
如 果 私 人 免费 DNS 服务 商 之 间 的 竞争 能 够 有 序 化 ,就 不 会 发 生 这 么 严重 的 事件 。 当 然 ,在 
大 量 网 站 选择 DNSPod 作为 自己 的 域名 解析 服务 器 后 ,DNSPod 已 经 成 为 网 络 运行 的 中 心 ， 
DNSPod 很 有 必要 采取 相应 的 技术 手段 来 保障 自身 的 安全 性 。 对 于 拥有 如 此 用 户 数量 的 
DNS 查询 服务 器 ,目前 只 有 nsl. dnspod. net 一 ns6. dnspod. net 共 6 台 服 务 器 ,同时 这 6 台 
服务 器 位 于 同一 IDC 中 ,无 法 提供 安全 可 靠 的 服务 。 

(3) 软件 后 门 存在 的 安全 隐患 。 在 这 次 事件 中 ,暴风 影音 扮演 着 DDoS 攻击 中 “肉鸡 ” 
的 角色 。 暴 风 影 音 为 了 获得 更 高 的 广告 点 击 率 , 在 后 台 暗 藏 了 机 关 一 一 安装 了 暴风 影音 客 
户 端 软件 的 计算 机 在 启动 时 会 自动 链接 到 暴风 影音 网 站 (*. baofeng. com)。 而 当 暴风 影 
音 软 件 得 不 到 DNS 响应 (DNSPod 被 攻陷 ) 时 ,会 不 断 发 送 DNS 解析 请 求 报 文 (每 分 钟 100 
次 以 上 ) ,这 样 在 DNS 树 形 结构 末端 的 DNS 服务 器 中 将 会 汇聚 大 量 等 待 应 答 的 DNS 请 求 
报 文 。 目 前 ,暴风 影音 拥有 数 以 千 万 计 的 用 户 数 , 一 旦 DNS 解析 出 错 , 将 会 产生 巨大 的 数据 
流 , 并 对 其 他 DNS 服务 器 产生 冲击 。 

暴风 影音 之 所 以 提供 以 上 的 功能 ,主要 出 于 本 身 的 利益 考虑 ,是 由 利益 驱动 导致 的 * 流 
谍 化 ”。 当 用 户 安装 了 暴风 影音 软件 后 ,在 操作 系统 中 会 强制 随机 启动 一 项 名 为 stormliv. 
exe 的 进程 。 而 且 ,即使 用 户 在 开机 后 没有 运行 暴风 影音 软件 ,也 会 自动 运行 stormliv. exe 
进程 ,并 不 断 连接 暴风 影音 网 站 ,下 载 广告 或 在 线 升级 。 在 关闭 了 暴风 影音 主 程序 后 ， 
stormliv. exe 进程 照常 驻 留 内 存 。 

(4) DNS 自身 的 不 安全 因素 。DNS 是 互联 网 中 的 一 项 基本 服务 ,早期 设计 上 的 缺陷 为 
日 后 的 应 用 埋 下 了 安全 隐患 。 在 设计 DNS 时 ,由 于 过 于 强调 对 网 络 的 适应 性 ,希望 在 网 络 
状况 不 好 时 照样 能 够 使 用 ,采用 了 面向 非 连接 的 UDP 协议 ,但 UDP 协议 本 身 是 不 安全 的 。 
从 体系 结构 来 看 ,DNS 采用 树 形 结构 ,虽然 便于 查询 操作 ,但 单 点 故障 非常 明显 ,安全 威胁 
加 剧 。 

除 DNS 自身 易 受 攻击 外 ,DNS 在 应 用 中 存在 的 安全 缺陷 和 薄弱 环节 也 逐渐 显露 出 来 。 
除根 服务 器 的 安全 .DDoS 攻击 和 僵尸 网 络 攻击 外 ,还 主要 表现 在 以 下 几 个 方面 。 

@ 软件 漏洞 。 不管 是 DNS 服务 器 端 软件 还 是 客户 端 软件 ,都 有 可 能 存在 安全 漏洞 。 
这 些 漏 洞 一 旦 被 攻击 者 利用 ,就 会 导致 域名 解析 服务 或 解析 结果 的 错误 。 

@ 缓存 中 毒 。DNS 缓存 中 毒 是 指 攻击 者 通过 伪造 的 或 错误 的 DNS 记录 来 代替 DNS 
服务 器 中 已 有 的 正确 记录 。 当 用 户 向 该 DNS 服务 器 发 送 查 询 请 求 时 ,DNS 服务 器 将 给 出 
错误 的 应 等 信息 或 将 用 户 的 链接 请 求 引 向 攻击 者 预 设 的 网 站 。 另 外 ,一 旦 将 缓存 中 毒 与 钓 
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鱼网 络 结合 起 来 ,将 会 造成 很 大 的 危害 性 。 

@ 域名 支持 。 域 名 支持 通常 是 指 通 过 采用 非法 手段 获得 某 一 个 域名 管理 员 的 账户 名 
称 和 密码 ,或 者 域名 管理 邮箱 ,然后 将 该 域名 的 IP 地 址 指向 其 他 的 主机 (该 主机 的 IP 地 址 
也 有 可 能 不 存在 的 行为 )。 域 名 被 劫持 后 ,不 仅 有 关 该 域名 的 记录 会 被 改变 ,甚至 该 域名 的 
所 有 权 可 能 会 落 到 其 他 人 的 手 里 。 

3. DNS 安全 防范 方法 

下 面 还 是 结合 “5。19 断 网 事件 ?来 分 析 DNS 安全 的 防御 方法 。 

(1) DNS 清洗 服务 。 在 “5。19 断 网 事件 中, 当 电信 运营 商 得 知 DNSPod 服务 器 被 攻 
陷 后 ,立即 进行 了 清洗 服务 。 根 据 域名 解析 体系 中 的 缓存 机 制 ( 逐 级 缓存 机 制 ) ,大 量 递归 域 
名 解析 服务 器 中 的 解析 记录 一 般 至 少 要 保存 24 小 时 ,也 就 是 说 ,即使 是 错误 的 信息 也 需要 
在 24 小 时 之 后 才能 够 被 系统 自动 删除 。DNS 清洗 服务 可 以 解决 DNS 缓存 带 来 的 域名 错 
误 查 询问 题 。 当 发 现 可 能 引起 网 络 故障 的 DNS 错误 记录 时 ,ISP 等 DNS 服务 器 控制 方 可 
以 采取 清空 缓冲 区 的 方法 ,保证 用 户 的 DNS 请 求 指向 正确 的 DNS 服务 器 。 

在 发 生 了 “5，19 断 网 事件 ?后 ,电信 运营 商 对 *. baofeng. com 域名 的 解析 强行 指向 某 
一 IP 地 址 或 干脆 屏蔽 掉 其 解析 。 不 过 ,这 只 是 一 种 应 急 方案 ,不 能 成 为 一 种 通用 的 方法 。 

(2) DNS 服务 器 的 元 余 备份 。 宛 余 备份 是 DNS 服务 器 安全 管理 中 采用 的 一 种 较为 普 
遍 的 方法 。 即 使 是 在 局 域 网 中 ,为 了 保障 DNS 服务 的 可 靠 性 ,会 采用 多 机 备份 方案 。 与 局 
域 网 相 比 ,互联 网 的 结构 和 应 用 要 复杂 得 多 ,对 DNS 的 安全 性 要 求 也 非常 高 。 在 “5。19 断 
网 事件 ”中 ,DNSPod 服务 器 之 所 以 能 够 被 全 部 快速 攻陷 ,其 主要 原因 是 6 台 服 务 器 同时 位 
于 同一 个 IDC 中 。 为 此 ,对 于 互联 网 中 的 DNS 服务 器 ,建议 能 够 创建 位 于 不 同 IDC 中 的 分 
布 式 系统 。 

(3) 根 域名 服务 器 的 安全 管理 。DNS 是 一 种 分 布 式 的 网 络 名 称 服务 系统 ,其 树 形 结构 
在 便于 扩展 的 同时 ,也 带 来 了 安全 威胁 ,尤其 是 针对 根 域名 服务 器 的 攻击 。 互 联网 中 的 根 域 
名 服务 器 存储 和 控制 着 全 球 域名 解析 体系 的 主体 信息 ,是 整个 域名 解析 递归 结果 的 终结 点 。 
由 于 根 服务 器 是 整个 域名 系统 的 核心 ,所 以 根 服务 器 的 可 靠 性 在 很 大 程度 上 决定 着 树 形 结 
构 中 各 级 递归 服务 器 的 安全 性 。 目 前 ,全 球 有 13 台 根 服务 器 ,1 台 为 主根 服务 器 ,放置 在 美 
国 ,其 余 12 台 均 为 辅助 服务 器 ,其 中 9 台 放 置 在 美国 ,2 台 在 欧洲 (分 别 位 于 英国 和 瑞典 )， 
亚洲 有 1 台 , 位 于 日 本 。 加 强 根 域名 服务 器 安全 的 一 种 通用 方法 是 在 不 同 的 国家 和 地 区 建 
立根 域名 服务 器 的 镜像 站 点 。 在 国家 工信部 的 协调 下 ,我 国 已 经 引入 了 3 个 根 域名 服务 器 
的 镜像 服务 器 ,在 提高 了 国内 域名 解析 性 能 的 同时 ,加 强 了 根 域名 服务 器 的 安全 性 。 

(4) 对 软件 漏洞 的 管理 。 软 件 漏洞 主要 包括 操作 系统 的 漏洞 和 DNS 应 用 软件 的 漏洞 。 
目前 ,互联 网 上 DNS 服务 器 的 操作 系统 主要 有 BSD、Linux、Solaris 及 少量 的 Windows, 而 
DNS 应 用 软件 绝 大 多 数 使 用 的 是 ISC 公司 的 BIND。 大 量 的 攻击 充分 利用 了 操作 系统 和 应 
用 软件 存在 的 漏洞 。 针 对 利用 漏洞 的 攻击 ,最 有 效 的 防范 方法 是 升级 到 最 新 的 版 本 ,并 及 时 
安装 补丁 程序 。 

(5) DNSSEC 的 部 署 。DNSSEC(Domain Name System Security Extensions ,域名 系统 
安全 扩展 ) 是 在 原 有 的 域名 系统 (DNS) 上 通过 公 钥 技术 ,对 DNS 中 的 信息 进行 数字 签名 ,从 
而 提供 DNS 的 安全 认证 和 信息 完整 性 检验 。DNSSEC 被 公认 为 是 目前 解决 DNS 服务 安 
全 最 有 效 的 方法 ,但 由 于 DNSSEC 需要 使 用 数字 签名 系统 ,部 署 较为 复杂 , 且 扩 展 性 较 差 ， 
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在 大 范围 推广 时 存在 一 定 的 难度 。 可 喜 的 是 : 目前 ICANA 已 经 在 部 分 根 域 系统 (如 . org) 
上 部 署 了 DNSSEC, 以 提高 根 域 服务 器 的 安全 性 ,此 举 说 明 DNSSEC 已 从 理论 探讨 和 区 域 
性 试验 开始 走 上 实际 应 用 了 。 

(6) DDoS 攻击 的 防范 。 近 年 来 ,采用 DDoS 对 DNS 服务 器 的 攻击 不 断 出 现 。 对 于 采 
用 树 形 结构 的 DNS 体系 ,域名 节点 越 是 靠近 根 ,所 受到 的 DDoS 攻击 威胁 也 就 越 严 重 。 解 
决 DDoS 攻击 的 最 有 效 方法 有 以 下 4 种 : 一 是 部 署 IDS(Intrusion Detection Systems, 和 侵 
检测 系统 ), 从 单一 技术 和 设备 来 看 ,IDS 是 目前 防范 DDoS 攻击 最 有 效 的 方法 ; 二 是 对 于 
重要 的 DNS 服务 器 ,可 分 别 在 不 同 的 IDC 中 部 署 ,通过 元 余 方式 来 提高 DNS 的 安全 ; 三 是 
在 防火 墙 上 通过 设置 策略 ,对 于 超过 某 一 限定 值 的 DNS 请 求 报 文 进行 过 滤 ; 四 是 通过 管理 
软件 ,对 排名 靠 前 的 DNS 解析 请 求 报 文 进行 分 析 ,重点 分 析 那 些 流量 在 短 时 间 内 急剧 增 大 
的 报 文 ,对 可 疑 报 文 进行 过 滤 处 理 。 

4. 针对 基于 BIND 软件 的 DNS 的 安全 管理 方法 

虽然 BIND 对 DNS 提供 了 大 量 的 安全 防范 ,但 是 如 果 配 置 不 当 或 没有 进行 必要 的 安全 
设置 ,其 安全 性 仍然 无 法 得 到 体现 。 下 面 结合 Linux 系统 中 对 BIND 软件 的 配置 ,介绍 常见 
的 安全 管理 方法 。 

(1) 正确 地 配置 DNS 服务 器 。 在 Linux 系统 中 ,DNS 服务 由 named 守护 进程 进行 控 
制 , 该 进程 从 主 文件 “/etc/named. conf” 中 获取 具体 的 配置 信息 。 除 此 之 外 ,还 有 许多 与 之 
相关 的 配置 文件 ,如 根 域名 配置 服务 器 指向 文件 “/var/named/named. ca”、 用 户 配 置 区 正 向 
解析 文件 “/var/named/name2ip. conf”、Localhost 区 正 向 域名 解析 文件 “/var/named/ 
localhost. zone” 等 。Linux 系统 中 基于 BIND 软件 的 DNS 配置 是 由 一 组 文件 组 成 的 ,在 具 
体 配置 过 程 中 不 但 要 清楚 不 同文 件 的 功能 及 存放 位 置 ,而 且 要 掌握 不 同文 件 的 配置 方法 , 同 
时 还 要 熟悉 不 同 配置 文件 之 间 的 关系 。 一 旦 一 个 配置 存在 缺陷 ,将 会 留 下 安全 漏洞 。 在 安 
装 BIND 软件 包 时 ,系统 自动 安装 了 用 于 对 DNS 配置 文件 进行 检查 的 工具 ,如 nslookup、 
dig named-checkzone host\named-checkconf 等 ,熟悉 这 些 工 具 的 功能 及 应 用 ,对 检查 DNS 
配置 的 正确 性 .防止 出 现 安全 漏洞 是 很 有 帮助 的 。 

(2) 隐藏 BIND 的 版 本 号 。 对 目标 主机 的 操作 系统 类 型 及 版 本 号 等 信息 进行 搜集 是 网 
络 攻击 前 需要 完成 的 一 项 工作 内 容 , 只 有 掌握 了 目标 主机 的 详细 信息 ,才能 从 中 发 现 可 利用 
的 漏洞 。 一 般 情 况 下 ,通用 软件 的 设计 缺陷 是 与 特定 的 版 本 相关 的 ,所 以 版 本 号 的 搜集 对 攻 
击 者 来 说 是 十 分 关键 的 。 攻 击 者 可 以 利用 dig 命令 查看 BIND 软件 的 版 本 号 ,进而 知道 该 
版 本 的 BIND 软件 存在 哪些 漏洞 。 为 此 ,隐藏 BIND 的 版 本 号 是 很 有 必要 的 ,具体 可 在 配置 
文件 “/etc/named. conf” 的 option 部 分 添加 version 声明 ,将 系统 默认 显示 的 版 本 号 覆盖 掉 。 
例如 ,可 通过 以 下 配置 , 当 利 用 dig 查看 版 本 号 时 ,显示 为 :“The platform does not provide 


version queries”。 





options { 
version"The Platform does not provide version queries" 


) 


同时 ,在 DNS 配置 文件 避免 使 用 HINFO 和 TXT 资源 记录 ,可 以 使 攻击 者 无 法 得 到 
DNS 服务 器 的 相关 信息 。 
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(3) 控制 区 域 (zone) 传 输 。DNS 区 域 传 输 (zone transfer) 是 指 备 用 服务 器 通过 主 服务 
器 的 数据 来 更 新 自己 的 区 域 (zone) 数 据 库 。 出 于 服务 的 可 靠 性 考虑 ,一 般 不 会 仅 提供 一 台 
DNS 服务 器 ,而 是 通过 设置 主 / 从 (master/slave)DNS 服务 器 来 实现 安全 备份 功能 。 当 设 
置 了 主 、 从 备份 服务 器 后 ,从 服务 器 需要 从 主 服 务 器 中 读 取 并 更 新 自己 的 区 域 数据 库 ,这 便 
是 DNS 的 区 域 传输 操作 。 区 域 传输 的 主要 对 象 是 区 域 数 据 库 , 该 数据 库 保存 着 网 络 架 构 中 
的 主机 名 ,主机 IP 地 址 列表 、 路 由 器 名 、 路 由 IP 列表 ,以 及 各 主机 所 在 位 置 和 硬件 配置 等 重 
要 信息 。 

在 BIND 的 默认 配置 中 ,区 域 传输 是 全 部 开放 的 , 即 DNS 服务 器 允许 对 任何 主机 进行 
区 域 传输 操作 。 如 果 攻 击 者 假冒 备用 DNS 服务 器 ,向 指定 主 DNS 服务 器 (攻击 主机 ) 请 求 
进行 区 域 传输 ,就 会 收集 到 该 DNS 服务 器 所 在 网 络 架构 中 的 所 有 配置 信息 。 为 了 加 强 对 
DNS 服务 器 的 安全 保护 ,需要 严格 限制 允许 区 域 传输 的 主机 ,一 般 一 个 主 DNS 服务 器 只 允 
许 它 的 从 DNS 服务 器 执行 区 域 传输 操作 。 对 于 BIND 软件 ,可 以 通过 如 下 的 allow- 
transfer 命令 来 控制 。 





acl"zone — transfer"{172.16.1.0;172.16.1.254} 
zone"yourdomain. cn"{ 

type master; 

file"yourdomain. cn"; 

allow 一 transfer {zero- transfer;};}; 


这 样 ,只 有 IP 地 址 在 17. 16.1.0 至 172. 16.1.254 范围 内 的 主机 才能 够 同 DNS 服务 器 
进行 区 域 传 输 操作 ,限制 了 其 他 主机 的 操作 。 

(4) 限制 反 向 解析 请 求 。 在 DNS 系统 中 ,一 个 IP 地 址 可 以 对 应 多 个 域名 , 即 多 个 域名 
可 以 同时 指向 同一 个 IP 地 址 。 因 此 ,由 IP 地 址 来 查询 域名 ,理论 上 是 可 行 的 ,但 实际 上 是 
不 现实 的 ,因为 这 种 查询 操作 会 遍历 整个 域名 树 ,这 在 Internet 上 是 不 现实 的 。 为 了 避免 类 
似 操 作 的 发 生 ,DNS 提供 了 一 个 被 称 为 “ 反 向 解析 域 "(in-addr. arpa) 的 区 域 ,由 该 区 域 负责 
向 需要 从 IP 查询 域名 的 请 求 提供 应 答 服务 。 例 如 ,一 个 IP 地 址 为 210. 98. 95. 2 的 反 向 解 
析 域 名 表示 为 2. 95. 98. 210. in-addr. arpa, 反 向 解析 域名 与 IP 地 址 正好 相反 ,同时 在 后 面 加 
上 了 “. in-addr. arpa”。 因 为 域名 结构 是 自 底 向 上 (从 子 域 到 根 域 ) ,而 IP 地 址 结构 是 自 顶 向 
下 (从 网 络 到 主机 ) 的 。 实 质 上 反 向 域名 解析 是 将 IP 地 址 表达 成 一 个 域名 ,以 地 址 作为 索引 
的 域名 空间 。 

如 果 任 何 用 户 都 可 以 向 DNS 服务 器 发 送 反 向 解析 请 求 报 文 ,这 无 异 于 给 DNS 服务 器 
实施 DoS 攻击 提供 帮助 。 所 以 ,需要 限制 DNS 服务 器 的 反 向 解析 服务 ,只 允许 特定 IP 地 
址 范围 内 的 主机 使 用 该 服务 。 例 如 ,通过 以 下 设置 ,只 允许 IP 地 址 在 172. 16. 1.0 网 段 的 主 
机 使 用 该 DNS 服务 器 提供 的 反 向 地 址 解析 服务 。 


options{ 

allow— query {172.16.1.0/24}; 
}; 

zone "yourdomain. cn"; 

type master; 
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file "yourdomain. cn" 7 
all- query{any;}; 

}; 
zone "1.16.172. in— addr.arpa" { 
type master; 

file "db.172.16.1"; 

allow— query {any;}; 


限制 反 向 解析 服务 的 范围 , 除 能 够 有 效 保护 DNS 服务 器 外 ,还 可 以 拒绝 接收 所 有 没有 
注册 域名 的 IP 地 址 发 来 的 邮件 。 目 前 ,多 数 垃圾 邮件 发 送 者 使 用 动态 分 配 或 者 没有 注册 域 
名 的 IP 地 址 来 发 送 垃圾 邮件 ,以 逃避 追踪 。 因 此 ,在 邮件 服务 器 上 拒绝 接收 来 自 没有 域名 
的 IP 地 址 发 来 的 邮件 可 以 大 大 降低 垃圾 邮件 的 数量 。 


3.3.4 Apache 服务 器 的 攻防 


Windows 和 Android 分 别 在 桌面 操作 系统 和 移动 智能 终端 领域 的 广泛 应 用 ,使 得 它们 
成 为 攻击 者 的 主要 选择 目标 。 此 现象 充分 说 明 攻 击 者 只 会 选择 有 利用 价值 的 目标 对 象 ,而 
使 用 越 广泛 的 系统 才 潜藏 着 可 被 利用 的 价值 。 同 样 , 在 Web 服务 器 应 用 中 ,Apache 的 大 量 
部 署 ,使 其 成 为 攻击 者 在 互联 网 Web 应 用 领域 的 主要 研究 对 象 和 攻击 目标 。 

1. 针对 Apache 服务 器 常见 攻击 方式 

攻击 者 选择 Apache 服务 器 ,主要 借助 Apache 软件 自身 存在 的 安全 漏洞 和 错误 的 配 
置 ,同时 还 利用 了 传统 的 DoS 缓冲 区 溢出 等 方式 攻击 ,借助 HTTP/HTTPS 协议 设计 上 的 
不 严谨 性 实现 攻击 行为 。 

(1) 泛 洪 攻击 。 泛 洪 (flood) 攻 击 是 一 种 中 断 网 络 服务 的 常见 攻击 方法 ,通常 通过 发 起 
ICMP Internet Control Message Protocol, Internet 控制 报 文 协议 ) 包 或 UDP (User 
Datagram Protocol ,用户 数据 报 协议 ) 包 实施 具体 的 攻击 行为 。 通 过 向 目标 主机 发 送 泛 洪 数 
据 包 , 使 目标 主机 或 连接 主机 的 网 络 负载 过 重 ,进而 无 法 提供 正常 的 网 络 服务 。 要 实施 泛 洪 
攻击 ,攻击 者 的 网 络 带宽 一 定 要 大 于 被 攻击 主机 所 使 用 的 网 络 带 宽 。 

使 用 UDP 数据 包 进 行 攻击 是 利用 了 UDP 协议 的 工作 原理 。 当 攻击 者 发 送 了 UDP 数 
据 包 后 不 会 有 任何 数据 包 返 回 到 攻击 者 的 主机 ,这 种 基于 单 向 数据 流 的 工作 机 制 很 适合 攻 
击 者 通过 向 目标 主机 发 送 大 量 的 数据 包 来 迫使 其 无 法 提供 正常 的 服务 。 使 用 ICMP 数据 包 
进行 攻击 是 利用 了 该 协议 可 以 根据 不 同 的 应 用 需求 来 构造 不 同 的 数据 包 这 一 特点 ,攻击 者 
通过 构造 有 缺陷 的 数据 包 来 扰乱 正常 的 网 络 工作 机 制 。 泛 洪 攻 击 的 本 质 是 攻击 者 通过 欺骗 
目标 主机 ,让 其 相信 所 接收 到 的 数据 包 都 是 正常 的 。 

(2) 硬盘 攻击 。 不 论 是 机 械 硬盘 还 是 固态 硬盘 ,其 总 体 结构 都 是 相似 的 。 硬 盘 主 要 由 
处 理 器 缓存 .Boot ROM 和 主 存储 介质 等 几 部 分 构成 ,对 于 机 械 硬 盘 还 有 电机 驱动 电路 和 
磁头 控制 电路 等 部 件 。 由 于 硬盘 的 电路 板 上 已 经 具有 了 CPU 内存 和 ROM, 所 以 可 以 将 硬 
盘 看 作 是 一 个 小 型 的 计算 机 系统 ,在 固件 的 控制 下 独立 运行 。 硬 盘 通 电 时 ,处理 器 执行 片段 
内 的 Loader 代码 ,这 部 分 代码 会 加 载 Boot ROM 到 缓存 中 并 执行 。Boot ROM 得 到 控制 权 
后 ,会 依次 初始 化 基本 外 设 ,初始 化 主 存 储 介 质 , 从 主 存储 介质 上 加 载 固 件 主体 ,启动 IDE/ 
SATA 总 线 接口 驱动 模块 ,并 进入 待命 状态 ,此 时 计算 机 即 可 对 硬盘 进行 操作 。 
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目前 ,大 部 分 硬盘 都 支持 固件 升级 功能 (通过 下 载 微 码 命 令 或 者 厂商 的 私有 命令 实现 )， 
用 户 可 以 通过 厂商 提供 的 程序 来 对 硬盘 驱动 器 上 的 固件 进行 更 新 。 这 使 得 硬盘 厂商 无 须 召 
回 有 固件 缺陷 的 产品 ,就 可 以 在 用 户 系 统 上 通过 软件 工具 升级 固件 来 修补 缺陷 。 由 此 不 难 
看 出 ,如 果 固 件 缺陷 被 利用 ,就 会 对 磁盘 产生 破坏 性 的 结果 。 通 过 伪造 的 固件 更 新 程序 来 写 
入 攻击 指令 , 轻 则 硬盘 中 的 数据 泄露 , 重 则 硬盘 损坏 。 

(3) DDoS 攻击 。DDoS(Distributed Denial of Service, 分 布 式 拒绝 服务 ) 攻 击 是 目前 针 
对 Apache 等 互联 网 上 的 Web 服务 器 威胁 性 最 大 的 一 种 攻击 方式 。DDoS 攻击 过 程 中 一 般 
会 隐藏 攻击 数据 的 来 源 ,即使 是 被 攻击 者 觉察 后 也 很 难 追 溯 到 数据 的 源头 。 由 于 Apache 
应 用 的 广泛 性 ,攻击 者 专门 开发 了 针对 Apache 的 攻击 程序 (如 SSL 蠕虫 ) ,然后 利用 
Apache 代码 存在 的 漏洞 ,通过 正常 的 网 络 访问 将 攻击 程序 安装 在 Apache 服务 器 上 。 之 
后 ,攻击 者 便 可 以 根据 需要 ,在 被 感染 的 主机 上 执行 恶意 代码 ,发 起 对 特定 目标 的 DDoS 
攻击 。 

(4) 分 块 编码 远程 溢出 。Apache 在 处 理 以 分 块 (chunked) 方 式 传输 数据 的 HTTP 请 
求 报 文 时 存在 设计 上 的 缺陷 ,如 攻击 者 可 能 会 利用 此 缺陷 在 某 些 Apache 服务 器 上 以 Web 
服务 器 进程 的 权限 执行 任意 指令 或 进行 DoS 攻击 。 

分 块 编码 (chunked encoding) 传 输 方 式 是 HTTP 1. 1 协议 中 定义 的 Web 用 户 向 服务 
器 提交 数据 的 一 种 方式 。 当 服务 器 收 到 分 块 编码 方式 的 数据 时 会 分 配 一 个 缓冲 区 来 存放 
它 , 如 果 提 交 的 数据 大 小 未 知 ,客户 端 会 以 一 个 协商 好 的 分 块 大 小 向 服务 器 提交 数据 。 

Apache 服务 器 默认 也 提供 了 对 分 块 编码 的 支持 。Apache 使 用 了 一 个 有 符号 变量 保存 
分 块 长 度 , 同 时 分 配 了 一 个 固定 大 小 的 堆栈 缓冲 区 来 保存 分 块 数据 。 出 于 安全 考虑 ,在 将 分 
块 数据 复制 到 缓冲 区 之 前 ,Apache 会 对 分 块 长 度 进行 检查 ,如果 分 块 长 度 大 于 缓冲 区 提供 
的 长 度 ,Apache 将 最 多 只 复制 缓冲 区 长 度 的 数据 ,否则 将 根据 分 块 长 度 进行 数据 复制 。 然 
而 在 进行 上 述 检查 时 ,没有 将 分 块 长 度 转换 为 无 符号 型 进行 比较 。 因 此 ,如 果 攻 击 者 将 分 块 
长 度 设置 成 一 个 负 值 ,就 会 绕 过 上 述 安全 检查 ,Apache 会 将 一 个 超 长 的 分 块 数 据 复 制 到 组 
冲 区 中 ,将 会 造成 一 个 缓冲 区 溢出 。 本 漏洞 可 导致 各 种 操作 系统 下 运行 的 Apache Web 服 
务 器 的 拒绝 服务 。 

(5) 获取 远程 用 户 权限 。 在 安装 了 Apache 软件 后 需要 指定 一 个 执行 账户 ,因为 有 些 配 
置 文件 或 程序 必须 是 root 身份 才能 运行 ,所 以 Apache 的 执行 账户 有 些 需要 以 root 身份 运 
行 Apache。 如 果 Apache 以 root 权限 运行 ,系统 上 一 些 存在 逻辑 缺陷 或 缓冲 区 溢出 漏洞 的 
程序 会 使 攻击 者 很 容易 地 获取 Linux 服务 器 上 的 root 权限 。 在 一 些 远 程 情况 下 ,攻击 者 会 
利用 一 些 以 root 身份 执行 的 有 缺陷 的 系统 守护 进程 来 获取 root 权限 ,或 者 利用 有 缺陷 的 服 
务 进程 漏洞 来 取得 普通 用 户 权 限 ,用 以 远程 登录 Linux 服务 器 ,进而 控制 整个 系统 。 

2. 安全 防范 方法 

对 基于 Linux 系统 的 Apache Web 服务 器 ,最 有 效 的 安全 管理 方法 是 关注 Linux 系统 
和 Apache 软件 的 缺陷 ,及 时 升级 系统 或 安装 补丁 程序 。 同 时 ,还 可 以 通过 以 下 方法 来 对 
Apache 服务 器 进行 安全 配置 。 

(1) 隐藏 Apache 版 本 。 因 为 软件 的 漏洞 信息 与 特定 的 版 本 是 相关 联 的 ,所 以 搜集 被 攻 
击 对 象 的 软件 版 本 信息 是 实施 攻击 的 前 提 。 默 认 系统 下 ,系统 会 把 Apache 版 本 信息 通过 
HTTP 应 答 头 部 显示 出 来 ,并 没有 提供 任何 的 信息 保护 机 制 。 隐 项 Apache 版 本 信息 的 具 
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体 方法 是 修改 Apache 的 配置 文件 “/etc/httpd. conf”, 在 找到 “ServerSignature” 和 
“ServerTokens” 关 键 字 后 ,将 其 设 定 为 “ServerSignature Off” 和 “ServerTokens Prod”, 然 后 
重启 Apache 服务 器 。 

(2) 创建 安全 目录 结构 。Apache 服务 器 包括 多 个 目录 , 表 3-2 列 出 了 其 主要 目录 的 功 
能 及 安全 配置 建议 。 





表 3-2 Apache 服务 器 主要 目录 的 功能 及 安全 配置 建议 

















目录 名 功 能 安全 配置 建议 
保存 Apache 的 配置 文件 二进制 文 

ServerRoot 件 和 其 他 服务 器 配置 文件 只 能 由 root 用 户 访问 
只 能 由 管理 Web 站 点 内 容 的 用 户 和 使 

DocumentRoot ee ME 用 Apache 服务 器 的 Apache 用 户 和 
Apache 组 访问 

SeripAlias 保存 CGI 脚本 人 CGI 开发 人 员 和 Apache 用 户 

Customlog 保存 访问 日 志 只 能 由 root 用 户 访问 

Errorlog 保存 错误 日 志 只 能 由 root 用 户 访问 








(3) 为 Apache 分 配 专门 的 执行 账户 。 为 避免 因 使 用 root 作为 Apache 的 执行 账户 带 
来 的 安全 问题 ,一 般 在 对 Apache 配置 结束 后 需要 分 配 一 个 专用 的 执行 账户 ,不 再 使 用 
root。Apache 账户 权限 的 分 配 遵循 “最 小 特权 原则 ”, 即 要 求 该 账户 对 系统 及 数据 进行 访问 
时 只 拥有 必须 的 最 小 权限 。 保 证 用 户 能 够 完成 所 操作 的 任务 ,同时 也 确保 将 非法 用 户 或 异 
常 操作 所 造成 的 损失 降 到 最 小 。 

(4) Web 目录 的 访问 控制 。 在 Web 服务 器 中 ,将 需要 发 布 的 Web 站 点 的 文件 保存 在 
Web 目录 中 ,需要 确保 其 安全 ,防止 非 授权 访问 和 非法 算 改 。 

Apache 服务 器 在 接收 到 用 户 对 一 个 目录 的 访问 请 求 时 ,会 查找 DirectoryIndex 指令 指 
定 的 目录 索引 文件 ,默认 情况 下 该 文件 为 index. html。 如 果 该 文件 不 存在 ,那么 Apache 会 
通过 创建 一 个 动态 列表 为 用 户 显 示 该 目录 的 内 容 。 通 常 这 样 的 配置 会 暴露 Web 站 点 的 结构 ， 
因此 需要 修改 配置 “/etc/httpd/conf/httpd. conf”, 搜 索 “Options Indexes FollowSymLinks”, 修 
改 为 “Options-Indexes FollowSymLinks” 即 可 。 其 中 ,在 “Options Indexes FollowSymLinks” 的 
“Indexes” 前 面 加 上 “一 ”符号 表示 禁止 目录 索引 ,如 果 是 “十 ”符号 则 表示 允许 目录 索引 ， 
“FollowSymLinks” 表 示人 允许 使 用 符号 链接 。 

(5) 利用 . htaccess 加强 对 Apache 服务 器 的 安全 管理 。. htaccess 是 Apache 服务 器 上 
的 一 个 基于 文本 的 分 布 式 配置 文件 , 它 提供 了 针对 目录 改变 的 配置 方法 ,即将 包含 一 些 操作 
系统 的 . htaccess 文件 保存 在 某 一 特定 目录 后 ,该 目录 及 其 下 的 所 有 子 目录 都 会 受到 该 文件 
的 影响 (index. html 文件 除外 ) 。. htaccess 通过 自行 修改 其 文件 内 容 来 实现 权限 控制 ,主要 
应 用 于 为 网 页 访问 设置 密码 、 自 定义 错误 页 面 、 改 变 首页 的 文件 名 (如 index. html) 、 禁 止 读 
取 文 件 名 、 重 定向 文件 等 。 下 面 通过 几 个 实例 来 说 明 . htaccess 文件 的 配置 和 应 用 。 

@ 自 定义 错误 页 面 。 当 用 户 访问 某 一 网 站 时 ,不 合理 的 访问 或 网 站 自身 存在 问题 时 ， 
会 出 现 不 同 的 错误 返回 页 面 。 攻击 者 可 以 通过 该 错误 返回 页 面 中 的 信息 来 了 解 Apache 服 
务 器 的 有 关 配 置 情况 ,并 以 此 作为 某 种 判断 的 依据 。 可 以 借助 . htaccess 来 控制 对 错误 返回 
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页 面 信息 的 显示 内 容 。HTTP 协议 的 错误 代码 被 标准 化 定义 为 400 一 505, 但 通过 对 
. htaccess 的 配置 ,可 以 使 Web 服务 器 处 理 错 误 时 能 够 进行 个 性 化 的 定制 ,而 不 是 被 协议 标 
准 化 的 默认 页 面 。 配 置 错误 页 面 的 重 定向 语法 如 下 。 


ErrorDocument[error code][url] 


其 中 ,“error code” 为 错误 代码 ;“url” 为 指定 保存 自 定义 错误 信息 的 页 面 所 在 的 地 址 。 
例如 ,如 果 在 当前 目录 下 有 一 个 保存 自 定义 错误 信息 的 页 面 文件 payattention. html, 使 用 
它 作 为 404 错误 页 面 ,可 以 写 为 : 


ErrorDocument 404/payattention. html 


404 错误 页 面 是 客户 端 在 浏览 网 页 时 ,服务 器 无 法 正常 提供 信息 ,或 者 服务 器 无 法 
回应 且 不 知道 原因 所 返回 的 页 面 ,而 利用 . htaccess 文件 则 可 以 对 其 进行 任意 的 修改 。 
具体 操作 时 ,只 需要 将 payattention. html 和 . htaccess 两 个 文件 同时 上 传 到 指定 的 目录 
中 即 可 。 

@ 网 站 目录 的 密码 保护 。 要 使 用 . htaccess 进行 Web 站 点 所 在 目录 的 密码 保护 ,可 通 
过 两 个 步骤 来 实现 : 配置 . htaccess 文件 和 创建 . htpasswd 密码 文件 。 htaccess 文件 的 相关 
内 容 如 下 。 


RuthName "Section Name" 

AuthType Basic 

AuthUserFile /full/path/to/. htpasswd 
Require valid - user 


其 中 ,“Section Name” 将 出 现在 用 户 端 弹出 页 面 的 密码 输入 框 中 ,可 以 自行 定义 ; 
“/full/path/to/. htpasswd” 是 密码 文件 . htpasswd 的 绝对 路 径 。 密 码 文件 . htpasswd 的 内 
容 格式 为 “username:password”;“Require valid-user” 表 示 . htpasswd 文件 中 设置 的 任何 一 
个 合法 用 户 都 可 以 访问 。 

通过 以 上 的 设置 , 当 用 户 试 图 访问 被 . htaccess 文件 密码 保护 的 目录 时 ,浏览 器 会 弹出 
要 求 输入 账户 名 和 密码 的 对 话 框 ,只 有 当 正 确 输入 后 才能 够 访问 。 

@ 限制 来 访 主要 的 IP 地 址 范围 。 对 于 只 需要 对 特定 人 群 (特定 IP 地 址 范围 ) 开 放 的 
Web 站 点 ,可 在 . htaccess 中 对 指定 IP 进行 限制 ,有 效 防止 其 他 用 户 访问 该 站 点 。 例 如 : 


Order deny, allow 
deny from all 
allow from 172.16 


通过 以 上 设置 ,表示 只 允许 172. 16. 0. 0 网 段 的 用 户 访 问 该 站 点 ,其 他 用 户 都 将 被 拒绝 。 
通过 上 述 的 几 个 实例 可 以 看 出 ,使 用 . htaccess 来 保护 网 站 更 为 安全 和 方便 。 因 为 利 
用 . htaccess 实现 密码 保护 ,可 以 有 效 地 抵御 字典 攻击 和 暴力 破解 。 
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3.4 Linux 用 户 提 权 方法 


通过 远程 渗透 技术 ,攻击 者 可 以 获得 系统 的 远程 访问 权限 ,并 能 够 实现 远程 登录 。 在 完 
成 了 远程 登录 后 ,攻击 者 就 转向 对 本 地 主机 的 攻击 。 本 地 主机 攻击 过 程 中 最 重要 的 是 用 户 
权限 的 提升 。 


3.4.1 通过 获取 “/etc/shadow” 文 件 的 信息 来 提 权 


Linux 系统 的 账户 分 为 特权 账户 root、 普 通用 户 账户 和 系统 用 户 账户 三 大 类 ,并 采用 
VFS(Virtual File System, 虚 拟 文件 管理 ) 来 控制 每 个 用 户 对 文件 的 访问 。 出 于 安全 考虑 ， 
在 一 些 Linux 发 行 版 本 中 用 特别 分 配 的 系统 用 户 账户 来 启动 和 运行 网 络 服务 ,只 有 一 些 频 
繁 访问 系统 资源 的 特殊 网 络 服务 (如 Samba) 才 直接 使 用 root 账户 权限 运行 。 

需要 特别 说 明 的 是 ,为 了 养 成 安全 使 用 Linux 系统 的 习惯 ,建议 系统 管理 员 使 用 普通 用 
户 账户 来 登录 和 操作 Linux 系统 ,只 有 确实 需要 使 用 root 权限 来 配置 和 管理 系统 时 ,再 通 
过 su\su -或 sudo 命令 将 权限 提升 到 root 用 户 账户 。 对 于 普通 用 户 账 户 , 坚 持 最 小 权限 分 
配 原则 ,一 般 禁 用 root 账户 权限 。 

通过 获取 “/etc/shadow” 文 件 的 内 容 来 对 本 地 用 户 进 行 权 限 提升 ,主要 分 为 获取 “/etc/ 
shadow” 文 件 和 破解 “/etc/shadow" 文 件 以 获得 用 户 密码 两 个 过 程 。 

1. 获取 “/etc/shadow” 文 件 

通过 远程 渗透 方法 ,攻击 者 如 果 获 得 了 root 账户 的 登录 密码 且 系 统 允 许 root 账户 远程 
登录 , 那 就 可 以 直接 登录 系统 进行 任意 的 操作 。 但 是 ,由 于 root 账户 的 重要 性 ,大 部 分 情况 
下 其 登录 密码 是 很 难 获得 的 ,攻击 者 一 般 得 到 的 是 普通 用 户 账户 的 登录 权限 。 普 通用 户 账 
户 对 系统 的 操作 是 受 限 的 ,一 般 很 难 完成 预定 的 操作 ,这 时 就 需要 通过 提 权 技术 ,将 普通 用 
户 账户 的 权限 提升 到 root 权限 。 

在 早期 的 Linux 版 本 中 ,包括 root 在 内 的 所 有 账户 信息 (包括 用 户 名 和 对 应 的 密码 ) 全 
部 保存 在 “/etc/passwd” 文 件 中 ,并 且 普 通用 户 也 可 以 读 取 该 文件 的 内 容 。 当 Linux 系统 引 
入 了 “the Shadow Suit” 组 件 后 ,将 用 户 账 户 的 密码 加 密 后 单独 存放 在 “/etc/shadow” 文 件 
中 ,而 且 只 有 root 用 户 才能 够 读 取 该 文件 中 的 信息 。 

如 何 才能 够 得 到 shadow 文件 的 内 容 呢 ? 首先 要 能 够 得 到 shadow 文件 ,然后 再 对 
shadow 文件 进行 破解 。 因 为 只 有 具有 root 权限 的 用 户 才能 够 读 取 shadow 文件 ,在 无 法 直 
接 获 得 root 权限 用 户 账户 信息 的 前 提 下 ,可 借助 一 些 以 root 权限 运行 的 服务 中 存在 的 文件 
任意 读 写 漏洞 来 间接 获得 。 当 具有 root 权限 运行 的 程序 中 存在 代码 任意 执行 安全 漏洞 时 ， 
可 以 代替 攻击 者 主动 打开 具有 root 权限 的 shell 命令 行 连接 ,有 了 该 连接 就 可 以 读 取 “/etc/ 
shadow” 文 件 。 攻击 者 在 获得 了 shadow 文件 后 再 通过 破解 其 密码 以 获取 root 用 户 的 
密码 。 

2. 破解 “/etc/shadow" 文 件 

用 户 密 码 破解 是 网 络 攻击 中 的 一 个 最 基本 的 操作 ,然而 由 于 系统 的 复杂 性 和 多 样 性 ,这 
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一 操作 的 实现 却 要 视 不 同 的 系统 和 配置 来 确定 不 同 的 思路 和 方法 。 

Linux 系统 中 的 /etc/shadow” 和 “/etc/passwd” 文 件 中 的 记录 是 一 一 对 应 的 ,每 行 都 
记录 着 Linux 系统 中 的 一 个 用 户 账户 的 登录 信息 。 下 面 显示 的 是 passwd 文件 中 一 个 用 户 
账户 的 登录 凭证 密 文 信息 : 


root: $ 1$ 00PP9BPb $ ZG1h9LtbwX12p. CwrWJ8..:15534:0:99999:7::: 


它 由 多 个 字段 组 成 ,不 同 字段 之 间 用 ”*:” 隔 开 。 其 中 ,最 前 面 的 一 个 字段 “root” 表 示 登 
录 名 ,与 “/etc/passwd” 中 相同 行 的 用 户 名 一 致 。“$1$0QPP9BPb $ ZGlh9LtbwX12p. 
CwrW]J8..” 存 放 的 是 加 密 后 的 用 户 密码 ,如果 该 字段 为 空 或 “1”, 表 示 该 账户 没有 设置 密码 ; 
如 果 为 “* ”, 则 表示 该 用 户 无 法 从 终端 登录 ,一 般 应 用 于 服务 运行 账户 。 除 以 上 特殊 情况 
下 ,该 字段 则 以 “$ "作为 分 隔 符 ,又 分 为 使 用 算法 编号 .salt 值 和 加 密 后 的 密码 Hash 值 。 
使 用 算法 包括 系统 默认 的 DES 算法 `MD5 算法 (显示 为 “$1?)、Blowfish 算法 (显示 为 
“$2” 或 “$2a”) 和 SHA 算法 (显示 为 “$5? 或 "$6?) 。salt 值 的 长 度 范围 为 2 一 12 字符 ,不 
同 的 算法 长 度 不 同 。 加 密 后 的 密码 Hash 值 长 度 取决 于 所 使 用 的 加 密 算法 ,长度 范围 为 
13 一 24 字符 , 且 使 用 Base64 进行 编码 。 其 他 字段 不 再 进行 说 明 。 

从 上 面 关 于 “/etc/shadow” 组 成 主要 字段 的 介绍 中 不 难 发 现 ,无 论 采取 经 典 的 DES 或 
MD5 算法 ,还 是 安全 性 更 高 的 SHA-256 或 SHA-512 算法 , 随 着 随机 数 salt 值 的 加 入 ,该 加 
密 机 制 使 攻击 者 无 法 直接 从 密 文 反 推出 其 明文 密码 ,尤其 是 salt 值 的 应 用 使 彩虹 表 攻 击 方 
法 无 法 实现 。 从 而 只 有 字典 攻击 和 暴力 破解 两 条 路 径 可 供 选择 。John the Ripper 是 Linux 
系统 上 进行 密码 暴力 破解 常用 的 工具 ,该 工具 还 提供 了 合成 “/etc/passwd” 与 “/etc/ 
shadow” 后 再 进行 破解 的 专门 程序 。 


3.4.2 利用 软件 漏洞 来 提 权 


在 无 法 通过 获取 “/etc/shadow” 文 件 的 情况 下 ,可 以 利用 Linux 系统 软件 中 存在 的 漏洞 
来 完成 提 权 操作 。 

1. 利用 sudo 程序 的 漏洞 进行 提 权 

su、su -和 sudo 是 Linux 系统 提供 的 管理 指令 ,是 让 普通 用 户 执行 一 些 或 者 全 部 root 
命令 的 一 个 工具 。 然 而 这 些 工 具 在 设计 与 实现 上 可 能 存在 安全 漏洞 , 当 本 地 提 权 漏洞 被 攻 
击 者 利用 后 ,就 可 以 将 一 个 普通 用 户 提升 为 一 个 具有 root 权限 的 特权 用 户 。 

2017 年 5 月 ,Linux 系统 中 sudo 程序 被 发 现存 在 一 个 高 危 漏洞 CCVE-2017-100036)， 
该 漏洞 发 生 在 Linux 的 sudo 命令 中 的 get_process_ttyname() 函 数 中 。 攻 击 者 可 以 利用 这 
个 漏洞 ,让 普通 用 户 在 使 用 sudo 命令 获得 临时 权限 时 执行 一 些 操作 ,将 他 们 的 权限 提升 到 
root 级 别 。 在 运用 SELinux 机 制 的 Linux 系统 上 ,sudo 用 户 可 以 使 用 命令 行 的 输入 提升 自 
己 的 用 户 权 限 , 还 可 以 覆盖 文件 系统 中 的 文件 ,甚至 覆盖 由 root 用 户 所 拥有 的 文件 。 该 
Linux 本 地 提 权 漏洞 会 影响 所 有 从 1. 8. 6p7 到 1. 8. 20 的 版 本 。 

2. 利用 SUID 程序 漏洞 进行 提 权 

对 文件 设置 了 SUID 后 ,执行 者 将 获得 文件 所 有 者 所 拥有 的 权限 。 由 于 一 个 服务 和 系 
统 软件 在 运行 过 程 中 需要 频繁 地 访问 系统 资源 ,而 系统 资源 的 访问 需要 拥有 root 权限 。 但 
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是 ,出 于 系统 安全 考虑 ,不 会 给 每 一 个 需要 访问 系统 资源 的 程序 都 赋予 root 权限 ,而 是 仅 在 
需要 的 时 候 才 赋予 ,访问 结束 后 将 被 收回 。SUID 机 制 实现 了 这 一 安全 功能 。 

Linux 系统 中 的 每 一 个 进程 在 调用 时 都 会 拥有 真实 UID(Real User ID) 和 有 效 UID 
(Effective User ID) ,其 中 真实 UID 指 的 是 进程 执行 者 是 谁 ,而 有 效 UID 指 的 是 进程 执行 
时 继承 的 是 谁 的 访问 权限 , 即 某 一 用 户 ( 真 实 UID) 在 用 另 一 用 户 ( 有 效 UID) 的 权限 来 执行 
某 一 程序 。 一 般 情 况 下 ,普通 用 户 在 调用 进程 时 ,真实 UID 和 有 效 UID 是 统一 的 。 但 是 在 
某 些 特殊 情况 下 ,普通 用 户 ( 真 实 UID) 会 在 继承 了 root 用 户 ( 有 效 UID) 的 权限 后 去 执行 某 
一 特殊 操作 。 这 种 特殊 情况 是 通过 为 程序 设置 SUID 特殊 权限 位 来 指定 的 ,给 某 一 程序 设 
置 了 SUID 位 之 后 ,普通 用 户 在 执行 这 一 程序 时 ,调用 该 进程 的 有 效 UID 就 变 成 了 该 程序 
拥有 者 的 UID( 一 般 为 root 用 户 ) ,该 进程 则 在 继承 了 拥有 者 权限 (一 般 为 root 的 权限 ) 后 
执行 。 

下 面 以 Linux 系统 中 passwd 程序 为 例 来 说 明 SUID 特殊 权限 的 功能 及 实现 过 程 。 在 
Linux 系统 中 ,任何 一 个 普通 用 户 都 可 以 修改 自己 的 密码 ,这 一 操作 是 通过 passwd 程序 来 
实现 的 。 现 在 的 问题 是 : 用 户 账 户 信息 保存 在 “/etc/passwd" 文 件 中 ,而 用 户 密 码 则 经 加 密 
处 理 后 保存 在 “/etc/shadow” 文 件 中 ,普通 用 户 对 “/etc/passwd” 文 件 仅 拥有 读 权 限 ,只 有 
root 用 户 才 拥有 对 “/etc/passwd” 文 件 的 写 权限 ,而 “/etc/shadow ”文件 只 允许 root 进行 读 、 
写 操作 。 也 就 是 说 ,普通 用 户 对 “/etc/passwd” 文 件 和 “/etc/shadow ”文件 都 没有 写 权 限 。 
那么 ,为 什么 普通 用 户 能 够 修改 自己 的 密码 呢 ? 这 就 要 依靠 SUID 来 实现 。passwd 程序 权 
限 位 的 设置 类 似 于 “-rwsr-r-x 1 root root 30768 Jul 22/2018/usr/bin/passed”( 可 用 “1s-1 / 
usr/bin/passwd” 命 令 查 看 ), 即 passwd 的 拥有 者 是 root, 且 拥有 者 权限 里 面 本 应 是 x 的 那 
一 列 显示 的 是 s, 这 说 明 passwd 程序 具有 SUID 权限 。 一 个 具有 执行 权限 的 文件 在 设置 了 
SUID 权限 后 , 当 用 户 在 调用 这 个 文件 时 将 以 文件 所 有 者 身份 执行 。 也 就 是 说 ,passwd 程 
序 具 有 SUID 权限 ,该 程序 的 所 有 者 为 root, 当 普通 用 户 使 用 passwd 命令 修改 自己 的 密码 
时 ,实际 以 passwd 程序 的 拥有 者 root 的 身份 作为 该 进程 的 有 效 UID 在 执行 ,自然 具有 对 
“/ete/passwd" 文 件 和 "/etc/shadow” 文 件 的 写 入 权限 ,passwd 命令 执行 结束 后 继承 来 的 
root 权限 将 自动 被 解除 。 当 用 户 在 命令 提示 符 下 输入 了 passwd 命令 后 ,在 输入 密码 前 按 
下 Ctrl 十 Z 组 合 键 ,再 执行 pstree -u 命令 ,在 如 图 3-9 所 示 的 进程 树 中 会 发 现 passwd 进程 
的 权限 不 是 wq-js 而 是 root。 

需要 指出 的 是 ,系统 管理 员 可 以 根据 需要 来 为 普通 用 户 在 执行 某 些 程序 时 调用 特殊 权 
限 ,具体 可 通过 chmod 命令 来 设置 程序 的 SUID 权限 位 。 同 时 ,默认 情况 下 Linux 系统 中 
有 一 些 程序 本 身 就 拥有 SUID 权限 位 。 也 就 是 说 ,Linux 系统 中 拥有 SUID 权限 位 的 程序 比 
较 多 ,一 旦 其 中 存在 安全 漏洞 的 程序 被 利用 于 本 地 提 权 攻击 ,就 会 给 攻击 者 提供 具有 root 
权限 的 Shell, 将 攻击 者 使 用 的 账户 添加 到 root 组 中 ,其 破坏 性 不 言 而 喻 。 

另外 ,可 以 利用 SUID 程序 的 本 地 缓冲 区 溢出 进行 提 权 攻击 。 缓 冲 区 溢出 一 般 是 针对 
设置 了 SUID 权限 位 且 用 户 拥有 者 为 root 的 程序 ,以 便 在 溢出 之 后 通过 向 目标 程序 中 注入 
经 攻击 者 特意 构造 的 攻击 代码 ,并 以 root 用 户 权 限 来 执行 命令 ,给 出 Shell。 

还 有 ,可 针对 SUID 程序 的 共享 函数 库 实现 本 地 提 权 攻击 。Linux 系统 中 的 共享 函数 
库 (shared libraries) 是 以 . so 为 后 缀 的 类 似 于 Windows 系统 动态 链接 库 ( 以 . dll 为 后 级) 的 
一 种 函数 库 动 态 加 载 机 制 , 它 允许 可 执行 文件 在 执行 阶段 从 某 个 公共 的 函数 库 中 调用 一 些 
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3-9 查看 进程 树 


功能 代码 片段 。 共 享 函 数 库 中 的 函数 在 一 个 可 执行 程序 启动 时 被 加 载 ,所 有 的 程序 在 重新 
运行 时 都 可 以 自动 加 载 最 新 的 函数 库 中 的 函数 。 使 用 共享 函数 库 能 够 帮助 系统 程序 更 加 有 
效 地 利用 一 些 功能 模块 ,并 使 得 代码 的 维护 更 加 容易 。 如 果 攻 击 者 能 够 利用 某 些 广泛 使 用 
的 共享 函数 库 中 存在 的 安全 漏洞 ,或 者 通过 设置 环境 变量 提供 具有 恶意 功能 数 库 ， 
就 可 以 攻击 依赖 这 富丽 数 库 的 SUID 程序 ,从 而 获得 本 地 root 权限 ,实现 提 权 操作 。 
Linux 是 用 C 语言 编写 的 ,glibc 是 Linux 下 GUN 的 C 函数 库 ,glibc 除了 封装 Linux 系统 
所 提供 的 系统 服务 外 ,大 量 的 SUID 程序 都 依赖 于 glibc。 为 此 ,一 旦 C 函数 库 的 实现 中 存 
在 安全 漏洞 ,攻击 者 就 有 可 能 实施 本 地 提 权 攻击 ,其 攻击 手段 类 似 于 Windows 环境 中 的 
DLL 注入 攻击 。 

3. 利用 Linux 内 核 代 码 漏洞 进行 提 权 

对 于 任何 一 个 操作 系统 来 说 , 受 其 运行 环境 的 限制 ,能 够 提供 的 访问 资源 是 有 限 的 ,过 
量 或 无 序 的 访问 会 导致 资源 的 耗 尽 或 出 现 访问 冲突 。 为 解决 这 一 问题 ,UNIX/Linux 对 不 
同 的 操作 赋予 不 同 的 执行 等 级 (特权 ) ,Intel x86 架构 的 CPU 提供 了 0 一 3 共 4 个 特权 级 , 数 
字 越 小 ,等 级 越 高 ,Linux 操作 系统 中 主要 采用 了 0 和 3 两 个 特权 级 ,分 别 对 应 的 就 是 内 核 
态 和 用 户 态 。 运 行 在 内 核 态 的 进程 可 以 执行 任何 操作 并 且 在 资源 的 使 用 上 没有 限制 ,而 运 
行 于 用 户 态 的 进程 可 以 执行 的 操作 和 访问 的 资源 都 会 受到 限制 。 出 于 资源 有 效 利用 和 系统 





















安全 的 考虑, 很 多 程序 开始 时 运行 于 用 户 态 ,但 在 执行 的 过 程 中 , 当 需 要 在 内 核 权 限 下 才能 
够 执行 时 ,就 涉及 从 用 户 态 切换 到 内 核 态 ,类 似 的 应 用 在 前 文 已 经 有 了 介绍 (如 SUID 的 


使 用 )。 
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不 管 是 运行 在 内 核 态 的 代码 ,还 是 运行 在 用 户 态 的 应 用 程序 ,以 及 位 于 用 户 态 的 进程 向 
内 核 的 调用 ,甚至 是 程序 在 运行 过 程 中 从 用 户 态 向 内 核 态 的 切换 ,都 会 存在 程序 漏洞 或 操作 
机 制 上 的 安全 隐患 。 尤 其 是 Linux 的 内 核 代 码 , 因 其 具有 开源 性 , 便 成 为 攻击 者 研究 的 主要 
对 象 。 一 旦 发 现 内 核 代码 中 存在 高 危 提 权 漏洞 ,攻击 者 便 可 以 方便 地 对 用 户 进行 提 权 操作 ， 
并 实现 对 大 量 主机 系统 的 操作 ,其 利用 价值 和 产生 的 威胁 是 可 想 而 知 的 。 

2016 年 1 月 , Linux 系统 被 发 现在 内 核 中 存在 一 个 高 危 级 别 的 本 地 提 权 0day 漏洞 ( 编 
号 为 : CVE-2016-0728) ,该 漏洞 属于 Linux 平台 上 的 UAF(Use After Free) 漏 洞 。 其 中 ， 
UAF 漏洞 产生 根源 是 迷途 指针 (dangling pointer) ,已 分 配 的 内 存 释 放 之 后 ,其 指针 并 没有 
因为 内 存 释放 而 变 为 NULL ,而 是 继续 指向 已 释放 内 存 。 如 果 是 良性 迷途 指针 ,该 指针 不 
会 再 被 使 用 ; 而 如 果 是 恶性 迷途 指针 , 则 该 指针 还 会 被 用 来 对 已 释放 内 存 进行 读 写 操作 。 
CVE-2016-0728 漏洞 的 产生 ,主要 是 由 于 keyrings 组 件 中 的 引用 计数 问题 。keyrings 的 主 
要 功能 是 为 驱动 程序 在 内 核 中 保留 或 缓存 安全 数据 、 身 份 认 证 密 钥 、 加 密 密 钥 及 其 他 数据 。 
它 使 用 一 个 32 位 的 无 符号 整数 做 引用 计数 ,但 是 在 计数 器 出 现 溢出 的 时 候 没 有 进行 合理 的 
处 理 。 当 对 象 的 引用 计数 达到 最 大 时 会 变 成 NULL, 因 此 释放 对 象 的 内 存 空间 。 而 此 时 程 
序 还 保留 对 引用 对 象 的 引用 ,所 以 形成 了 UAF 漏洞 ,可 实现 对 本 地 用 户 的 提 权 操作 。 该 漏 
洞 影 响 Linux 内 核 3. 8 及 以 前 版 本 ,已 影响 到 大 量 的 Linux 个 人 计算 机 、 服 务 器 及 大 量 安 卓 
设备 (包括 智能 手机 和 平板 电脑 ) 。 


3.4.3 针对 本 地 提 权 攻击 的 安全 防御 方法 


针对 本 地 提 权 攻击 ,最 有 效 的 安全 防范 方法 依然 是 及 时 更 新 系统 的 补丁 程序 ,以 便 在 第 
一 时 间 修 补 存 在 的 安全 漏洞 。 除 此 之 外 ,结合 本 节 介绍 的 几 类 提 权 攻击 方法 ,下 面 主要 基于 
Linux 服务 器 的 应 用 ,从 系统 管理 的 角度 提 些 建议 。 

针对 SUID 特权 程序 ,管理 员 首 先 要 清楚 Linux 系统 在 默认 安装 时 ,哪些 系统 程序 使 用 
了 SUID 特权 位 设置 ,程序 如 果 不 需 要 就 尽 可 能 将 其 禁用 。 对 于 在 Linux 系统 上 运行 的 应 
用 程序 ,管理 员 必 须知 道 是 否 会 启用 SUID 特权 位 设置 ,并 评估 可 能 存在 的 安全 风险 。 对 于 
安全 风险 大 的 SUID 特权 程序 ,应 尽 可 能 去 除 SUID 特权 位 的 设置 ,如 果 确 实 要 使 用 ,必须 
实时 关注 其 安全 状况 。 即 使 是 安全 风险 小 的 SUID 特权 程序 ,管理 员 也 要 做 到 “清单 式 ” 管 
理 , 即 对 使 用 的 SUID 特权 程序 建立 应 用 清单 ,及 时 安装 安全 补丁 程序 。 

针对 利用 代码 漏洞 进行 本 地 提 权 的 问题 ,最 根本 的 解决 办 法 还 是 及 时 升级 操作 系统 并 
安装 补丁 程序 ,同时 辅助 以 必要 的 安全 配置 。 例 如 ,禁止 root 用 户 进 行 远程 登录 、 对 特权 用 
户 设置 强 口令 、 使 用 SSH 对 服务 器 进行 远程 管理 等 。 

另外 ,针对 Linux 在 访问 控制 机 制 中 存在 的 本 地 提 权 漏洞 ,可 使 用 SELinux 安全 增强 
模块 来 提高 Linux 抵御 本 地 攻击 的 能 力 。 早 期 的 Linux 采用 自主 访问 控制 (Discretionary 
Access Control,DAC) 来 保证 系统 的 安全 性 ,根据 用 户 标识 和 拥有 者 权限 来 确定 是 否 人 允许 
访问 。 这 种 机 制 的 缺陷 是 忽略 了 用 户 的 角色 数据 的 敏感 性 和 完整 性 、 程 序 的 功能 和 可 信和 性 
等 安全 信息 ,因此 不 能 提供 足够 的 安全 性 保证 。 而 Linux 在 2. 6 内 核 之 后 集成 了 SELinux 
组 件 ,在 该 组 件 中 引入 了 强制 访问 控制 (Mandatory Access Control, MAC) 机 制 ,可 以 有 效 
地 解决 早期 Linux 系统 中 存在 的 一 些 问题 。MAC 根据 用 户 操作 对 象 (如 普通 文件 .目录 、 
设备 .端口 、 被 调用 的 进程 等 ) 所 含 信息 的 敏感 性 ,以 及 用 户 操作 (如 读 、 写 .执行 等 ) 在 访问 这 
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些 信息 时 的 安全 授权 来 限制 对 用 户 操作 对 象 的 访问 。SELinux 是 一 种 通用 的 灵活 的 、 细 粒 
度 的 MAC 机 制 ,为 用 户 操作 和 用 户 操作 对 象 定义 了 多 种 安全 策略 ,能够 最 大 限度 地 限制 进 
程 的 权限 ,保护 进程 和 数据 的 安全 性 、 完 整 性 和 机 密 性 ,从 而 解决 了 DAC 的 脆弱 性 和 传统 
MAC 的 不 灵活 性 等 问题 。 


习 题 


1. 简 述 Linux 系统 的 安全 机 制 及 主要 实现 方法 。 

2. 分 析 PAM 技术 的 实现 过 程 ,并 介绍 其 应 用 特点 。 

3. 分 析 Linux 的 权限 分 配 特点 及 访问 控制 机 制 的 实现 方法 。 

4. Linux 环境 中 的 用 户 账户 分 为 哪 几 类 ? 如 何 获取 其 信息 ? 如 何 进行 安全 防范 ? 

5. 结合 安全 漏洞 的 概念 ,分 析 漏洞 在 网 络 远程 渗透 攻击 过 程 中 发 挥 的 功能 ,以 及 如 何 
进行 安全 防范 ? 

6. 以 本 文 介绍 的 “5。19 断 网 事件 ”为 例 , 详 细 分 析 DNS 服务 器 存在 的 安全 隐患 及 攻击 
的 实现 过 程 。 在 此 基础 上 ,结合 Linux 环境 下 BIND 软件 的 配置 方法 ,介绍 DNS 服务 器 的 
安全 防范 措施 。 

7. 结合 实际 部 署 的 Apache Web 服务 器 ,通过 具体 的 操作 ,分 析 其 存在 的 主要 安全 缺 
陷 及 其 可 能 产生 的 结果 ,并 介绍 其 安全 防范 方法 。 

8. 简 述 分 块 编码 远程 溢出 的 原理 及 实现 方法 。 

9. 通过 实际 操作 ,掌握 利用 . htaccess 对 Apache 服务 器 进行 安全 保护 的 方法 。 

10. 介绍 Linux 系统 中 对 普通 用 户 账户 进行 提 权 的 方法 。 

11. 通过 实际 操作 ,在 掌握 SUID 特殊 权限 位 功能 及 设置 方法 的 基础 上 ,以 Linux 系统 
中 的 passwd 程序 为 例 来 说 明 SUID 特殊 权限 的 实现 过 程 和 应 用 特点 。 


第 4 董 ”恶意 代码 的 攻防 


恶意 代码 (Unwanted Code、Malicious Code 或 Malware) 是 指 未 经 授权 认证 ,攻击 者 从 
其 他 计算 机 系统 经 存储 介质 或 网 络 传 播 , 以 破坏 计算 机 系统 完整 性 为 目标 的 一 组 指令 集 。 
该 指令 集 并 非 全 部 是 二 进 制 执行 文件 ,还 包括 脚本 语言 代码 、 宏 代码 或 寄生 于 其 他 代码 中 的 
一 段 指 令 等 。 恶意 代 码 由 攻击 者 根据 个 人 意图 而 编写 ,其 目的 包括 窃取 他 人 计算 机 上 的 信 
息 、 远 程控 制 被 攻击 的 计算 机 、 占 用 他 人 计算 机 或 网 络 资源 ,拒绝 服务 、 进 行 破坏 、 炫 焰 个 人 
技术 或 恶作剧 等 。 恶 意 代 码 包 括 计算 机 病毒 .蠕虫 .木马 ,后 门 、 伪 尸 网 络 等 。 恶 意 代 码 攻 击 
是 所 有 网 络 攻击 行为 中 涉及 面 最 广 .影响 力 最 大 ,自动 化 程度 最 高 的 一 种 攻击 方式 。 涉 及 面 
广 是 指 目前 恶意 代码 攻击 的 对 象 几乎 涉及 采用 不 同 结构 .不 同 应 用 功能 .不 同 通信 方式 的 所 
有 智能 设备 ,以 及 能 够 运行 程序 代码 的 微 系统 ; 影响 力 大 是 指 一 个 恶意 代码 一 旦 出 现 ,将 会 
借助 互联 网 快速 传播 ,有 些 恶 意 代码 还 会 在 传播 过 程 中 不 断 演变 ,以 适应 环境 的 变化 ; 自动 
化 程度 高 是 指 恶 意 代码 的 攻击 过 程 实现 了 自动 化 ,模块 化 和 智能 化 ,以 便 能 够 在 更 短 时 间 内 
攻击 更 多 的 目标 。 本 章 重 点 从 攻击 原理 和 行为 分 析 两 个 方面 介绍 恶意 代码 的 攻防 技术 。 


4.1 计算 机 病毒 


计算 机 病毒 是 最 早出 现 的 恶意 代码 ,也 是 蠕虫 ,木马 等 恶意 代码 产生 的 基础 ,所 以 较为 
系统 地 了 解 计算 机 病毒 的 概念 和 机 制 对 全 面 学 习 恶意 代码 具有 重要 意义 。 


4.1.1 计算 机 病毒 的 起 源 


1949 年 ,计算 机 之 父 约翰 。 汉 “。 诺 依 曼 (John von Neumann) 在 (复杂 自动 机 组 织 ) 一 书 
中 提出 了 计算 机 程序 能 够 在 内 存 中 自我 复制 的 概念 ,这 为 计算 机 病毒 的 产生 打下 了 基础 。 

1960 年 ,美国 人 约翰 。 康 维 编写 了 “生命 游戏 ”(Conway's Game of Life) 程 序 。 程 序 运 
行 时 屏幕 上 会 出 现 许 多 运动 变化 着 的 表示 “生命 元 素 ” 的 图 案 ,元 素 在 过 于 拥挤 和 稀 朴 时 都 
会 因 缺 少 生存 条 件 而 死亡 ,只 有 处 于 合适 环境 中 的 元 素 才能 自我 复制 并 进行 传播 ,这 被 称 为 
游戏 编程 的 起 源 ,也 是 计算 机 病毒 自我 复制 特征 的 体现 。 

1966 年 前 后 ,来自 美国 贝尔 实验 室 的 3 位 年 轻 程序 员 一 一 道格拉斯 . 麦 基 和 尔 罗 伊 (H. 
Douglas Mcllroy) , 维 克 多 ，。 维 索 特 斯 克 (Victor Vysottsky) 及 后 来 的 美国 国家 安全 局 
(CNSA) 的 首席 科学 家 罗伯特 。 莫 里 斯 (Robert H. Morris) 共 同 开 发 了 一 个 被 命名 为 “达尔 
文 "(Darwin) 的 游戏 环境 。 游 戏 规则 是 : 参与 游戏 的 双方 各 自 编制 能 够 自我 复制 并 可 保存 
在 磁 芯 片 Ccore) 存 储 器 中 的 程序 ,通过 覆盖 对 手 的 程序 与 复制 自身 将 对 手 程序 * 杀 死 ”, 即 宣 
告 胜利 。 该 游戏 就 是 著名 的 “ 磁 芯 大 战 "(Core War) 。 用 于 磁 芯 大 战 的 游戏 有 多 种 ,如 有 一 
个 名 为 “ 疏 行 者 ”的 程序 (Creeper) ,每 一 次 执行 都 会 自动 生成 一 个 副本 ,很 快 计 算 机 中 的 原 
有 资料 就 会 被 这 些 忠 行 者 侵蚀 掉 ; 还 有 一 个 名 为 “侏儒 ”(Dwarf) 的 程序 在 记忆 系统 中 执行 ， 
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每 到 第 5 个 “地 址 ”(address) 便 会 把 那里 所 储存 的 资料 删除 ,这 会 严重 破坏 原本 的 程序 。 磁 
芯 大 战 游戏 程序 不 但 体现 了 计算 机 病毒 在 运行 过 程 中 的 自我 复制 和 攻击 对 方 的 特点 ,而 且 
实现 了 多 个 程序 员 为 了 同一 个 目标 而 贡献 各 自 的 智慧 。 

1983 年 11 月 ,美国 计算 机 安全 学 家 费 雷 德 。 科恩 博士 研制 出 一 种 在 运行 过 程 中 可 以 
复制 自身 的 破坏 性 程序 ,并 将 其 命名 为 “Computer Virus” (计算 机 病毒 )。 专 家 们 在 
VAX11/750 计算 机 系统 上 运行 此 程序 ,至 此 ,第 一 个 病毒 实验 成 功 。 

1986 年 年 初 ,在 巴基斯坦 的 拉 合 尔 。 巴 锡 特 和 阿 姆 杰 德 两 兄弟 编写 了 Pakistan 病毒 ， 
即 Brain( 大 脑 ) 病 毒 ,此 病毒 在 一 年 内 流传 到 世界 各 地 。 这 是 世界 上 第 一 例 传播 的 病毒 。 
1987 年 10 月 ,Brain 病毒 在 美国 被 发 现 ,此 后 ,世界 各 地 的 计算 机 用 户 也 相继 发 现 了 形 形 色 
色 的 计算 机 病毒 ,计算 机 病毒 一 经 出 现 , 便 以 极其 迅猛 的 速度 增长 。 


4.1.2 计算 机 病毒 的 概念 


作为 一 个 计算 机 安全 领域 被 大 家 熟知 的 名 词 ,计算 机 病毒 的 概念 从 一 提出 就 随 着 计算 
机 技术 的 发 展 和 人 们 对 安全 认识 的 不 断 加 深 而 动态 变化 。 不 同 的 定义 有 着 不 同 的 侧重 点 ， 
所 以 较为 全 面 地 了 解 不 同 定义 的 内 涵 ,对 深入 学 习 计 算 机 病毒 的 特征 和 机 制 有 很 大 帮助 。 

1983 年 11 月 ,计算 机 病毒 之 父 弗 雷 德 。 科 恩 博 士 把 计算 机 病毒 定义 为 :“ 计 算 机 病毒 
是 一 种 计算 机 程序 , 它 通过 修改 其 他 程序 把 自身 或 其 演化 体 插入 它们 中 ,从 而 感染 它们 。” 并 
于 1988 年 著 文 强调 :“ 计 算 机 病毒 不 是 利用 操作 系统 的 错误 或 缺陷 的 程序 。 它 是 正常 的 用 
户 程 序 , 它 仅 使 用 那些 每 天 都 使 用 的 正常 操作 。” 

汉堡 大 学 (University Hamburg) 计 算 机 病毒 测试 中 心 的 Vesselin Bontchev 认为 : 计算 
机 病毒 是 一 种 自我 复制 程序 , 它 通过 修改 其 他 程序 或 它们 的 环境 来 “感染 "它们 ,使 得 一 旦 调 
用 “被 感染 ”的 程序 就 意味 着 调用 “病毒 "的 演化 体 ,在 多 数 情况 下 ,意味 着 调用 与 “病毒 "功能 
相似 的 复制 。 

1994 年 2 月 18 日 《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》 第 二 十 八条 给 计 
算 机 病毒 的 定义 是 :“ 计 算 机 病毒 是 指 编制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 
者 毁坏 数据 ,影响 计算 机 使 用 ,并 能 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 。” 

目前 ,大 部 分 信息 安全 研究 者 认为 : 计算 机 病毒 是 一 种 程序 , 它 用 修改 其 他 程序 或 与 其 
他 程序 有 关 信 息 的 方法 ,将 自身 的 精确 复制 器 或 可 能 演化 的 复制 器 放 入 或 链 入 其 他 程序 ,从 
而 感染 其 他 程序 。 

由 于 计算 机 病毒 与 医学 上 的 “生物 病毒 "有 着 相似 的 破坏 性 和 传染 性 特征 ,后 来 把 这 种 
能 够 自我 复制 且 具 备 破坏 功能 的 计算 机 程序 称 为 计算 机 病毒 。 计 算 机 病毒 修改 宿主 程序 ， 
并 将 自身 的 精确 复制 或 其 演化 的 复制 插入 其 中 ,从 而 感染 该 宿主 程序 。 由 于 这 种 感染 特性 ， 
病毒 可 随 信 息 流 的 扩散 而 传播 ,从 而 破坏 信息 的 完整 性 。 

计算 机 病毒 与 生物 病毒 是 两 个 不 同 范畴 的 概念 。 前 者 是 人 工 制造 ,后 者 是 自然 产物 ; 
前 者 是 机 器 编码 ,后 者 是 核酸 编码 ; 前 者 是 物理 存储 指令 ,后 者 以 化 学 存储 方式 为 主 。 尽 管 
如 此 ,二 者 在 功能 上 及 危害 和 感染 的 本 质 上 是 一 致 的 。 计 算 机 病毒 几乎 具有 生物 病毒 全 部 
的 生物 学 特征 。 从 这 个 意义 上 来 说 ,计算 机 病毒 是 一 种 可 能 的 人 工 生 命 体 ( 即 人 工 病 毒 ) ,其 
生命 周期 可 以 分 为 新 病毒 的 产生 、 病 毒 传播 及 潜伏 、 病 毒 触 发 运行 及 破坏 和 病毒 被 反 病 毒 程 
序 查 杀 ,如 图 4-1 所 示 。 从 图 4-1 中 可 以 看 出 ,病毒 变种 一 般 产 生 于 病毒 传播 .潜伏 过 程 中 ， 
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同时 计算 机 病毒 具有 自我 繁殖 、 自 我 构造 、 自 我 进化 等 生命 特征 。 





利用 新 漏洞 设计 新 病毒 [一 | “病毒 传播 、 潜 估 




















反 病 毒 程序 查 杀 病 毒 ”| | 病毒 触发 运行 、 破 坏 





图 4-1 计算 机 病毒 的 生命 周期 


基于 计算 机 病毒 的 算法 特征 和 生命 特征 ,病毒 变种 或 未 知 病毒 一 般 诞生 于 已 知 病毒 的 
演化 之 中 。 病 毒 编写 者 在 制造 新 病毒 时 ,通常 采用 如 下 方式 。 

(1) 对 已 知 病毒 进行 编码 分 析 。 

(2) 提取 病毒 的 各 种 模块 。 

(3) 运用 不 同 的 算法 对 已 知 病毒 的 模块 进行 组 合 ,得 到 新 的 病毒 。 


4.1.3 计算 机 病毒 的 基本 特征 
TCP/IP 体系 的 开放 性 .计算 机 程序 的 自我 复制 性 .计算 机 





















































网 络 的 共享 性 及 计算 机 软 硬 件 系统 设计 上 的 漏洞 ,为 计算 机 病 下 
毒 的 产生 与 发 展 提供 了 物质 基础 ,也 决定 了 计算 机 病毒 的 结 初始 化 模块 
构 。 计 算 机 病毒 的 这 种 结构 也 是 其 充分 利用 系统 资源 进行 破 语 交 区 
坏 活动 的 最 合理 体现 。 如 图 4-2 所 示 , 计 算 机 病毒 一 般 由 感染 四 
标记 、 初 始 化 模块 .感染 模块 和 表现 模块 组 成 。 概 括 地 讲 ,计算 

机 病毒 具有 以 下 基本 特征 。 图 42 计算 机 病毒 的 结构 


1. 破坏 性 

只 有 少 部 分 计算 机 病毒 的 编写 者 是 为 了 炫耀 自己 的 技术 ,其 病毒 特征 仅仅 会 影响 计算 
机 的 正常 运行 ,或 者 改变 用 户 使 用 计算 机 的 习惯 ; 大 部 分 计算 机 病毒 都 具有 破坏 性 。 所 谓 
破坏 性 ,是 指 计算 机 病毒 在 触发 后 会 执行 一 定 的 破坏 行为 来 达到 病毒 编写 者 的 目的 , 即 破坏 
文件 或 数据 ,具体 表现 为 删除 文件 格式 化 磁盘 、 占 用 网 络 带 宽 ,其 至 是 破坏 硬件 。 

2. 传染 性 

传染 性 是 指 计算 机 病毒 能 够 把 自己 复制 到 其 他 程序 的 特性 。 传 染 性 是 计算 机 病毒 最 重 
要 的 特征 ,是 判断 一 段 程序 代码 是 否 为 计算 机 病毒 的 依据 。 运 行 被 计算 机 病毒 感染 的 程序 
后 ,该 带 毒 程序 可 以 很 快 地 感染 其 他 程序 ,使 计算 机 病毒 从 一 个 程序 传染 . 草 延 到 不 同 的 计 
算 机 。 同 时 ,使 被 传染 的 计算 机 程序 .计算 机 、 计 算 机 网 络 成 为 计算 机 病毒 的 生存 环境 及 新 
的 传染 源 。 

3. 潜伏 性 

计算 机 病毒 具有 依附 于 其 他 程序 的 寄生 能 力 。 依 靠 病 毒 的 寄生 能 力 ,病毒 传染 给 正常 
的 程序 和 系统 后 ,可 能 很 长 一 段 时 间 都 不 会 发 作 , 往 往 有 一 段 潜 伏 期 。 病 毒 的 这 种 特性 是 为 
了 隐藏 自己 ,同时 在 隐蔽 状态 下 去 感染 其 他 的 程序 ,并 伺机 进行 破坏 行为 。 

潜伏 性 的 另 一 个 特征 是 其 隐藏 性 。 隐 蔽 性 是 指 计 算 机 病毒 一 般 都 不 独立 存在 ,而 是 使 
用 嵌入 的 方法 寄生 在 一 个 正常 的 程序 中 。 有 一 些 病 毒 程序 隐 项 在 磁盘 的 引导 扇 区 中 ,或 者 
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磁盘 上 标记 为 坏 簇 的 扇 区 中 ,以 及 一 些 空闲 概率 比较 大 的 扇 区 中 。 这 就 是 病毒 的 非法 可 存 
储 性 。 处 于 潜伏 期 的 病毒 在 满足 了 特定 条 件 后 就 会 显示 其 破坏 特征 。 

4. 可 触发 性 

处 于 潜伏 期 的 计算 机 病毒 在 其 环境 满足 一 定 的 条 件 后 才 会 被 激活 。 病 毒 在 具备 了 一 个 
或 多 个 条 件 后 才 会 被 激活 ,激活 的 实质 是 一 种 条 件 控制 ,病毒 程序 可 以 依据 编写 者 的 要 求 ， 
在 条 件 满足 时 实施 攻击 行为 。 具 体 的 激活 条 件 可 以 是 输入 特定 字符 ,或 者 是 某 个 特定 日 期 
或 特定 时 刻 ,或 者 是 病毒 内 置 的 计数 器 达到 一 定 次 数 等 。 

5. 衍生 性 

根据 编写 者 的 事先 设计 ,或 者 其 他 已 经 掌握 该 病毒 编写 代码 的 人 员 的 有 意 修改 ,计算 机 
病毒 在 发 展演 变 过 程 中 可 以 衍生 出 一 种 或 多 种 新 病毒 ,这 种 新 病毒 被 称 为 原 病毒 的 变种 。 
能 够 产生 变种 的 病毒 在 传播 过 程 中 可 以 有 效 地 隐蔽 自己 ,使 之 不 易 被 反 病 毒 程序 发 现 及 
清除 。 


4.1.4 计算 机 病毒 的 分 类 


计算 机 病毒 不 是 一 个 独立 存储 并 运行 的 文件 ,而 是 嵌入 到 一 个 宿主 程序 中 并 借助 宿主 
程序 的 运行 而 运行 的 一 段 代码 。 根 据 病毒 所 依附 的 宿主 程序 的 不 同 ,可 将 计算 机 病毒 主要 
分 为 可 执行 文件 病毒 .引导 扇 区 病毒 和 宏 病毒 3 种 类 型 。 

1. 可 执行 文件 病毒 

可 执行 文件 (executable file) 是 指 可 以 由 操作 系统 进行 加 载 执行 的 文件 。 在 不 同 的 操 
作 系统 环境 下 ,可 执行 程序 的 呈现 方式 不 同 。 例 如 ,在 Windows 操作 系统 下 ,可 执行 程序 可 
以 是 . exe 文件 、. sys 文件 、. com 文件 等 类 型 。 

可 执行 文件 病毒 嵌入 在 可 执行 文件 中 , 当 病毒 感染 了 一 个 可 执行 文件 时 ,病毒 会 修改 原 
文件 的 一 些 参数 ,并 将 病毒 自身 程序 添加 到 原文 件 中 。 当 一 个 病毒 嵌入 可 执行 文件 时 ,可 谋 
入 在 头 部 .尾部 或 插入 在 文件 中 间 。 

如 果 病 毒 嵌 入 在 可 执行 文件 的 头 部 , 当 宿主 程序 被 执行 时 ,操作 系统 首先 会 运行 病毒 代 
码 , 然 后 再 运行 宿主 程序 。 此 类 病毒 较 宿主 程序 优先 取得 了 运行 权 , 所 以 用 户 很 难 发 现 病毒 
的 存在 。 如 果 病 毒 嵌入 在 可 执行 文件 的 尾部 ,病毒 为 了 使 自己 具有 优先 运行 权 , 必 须 修改 宿 
主 程序 的 参数 ,加 入 一 条 跳 转 指令 ,使 得 在 宿主 程序 执行 时 首先 跳 转 到 病毒 代码 ,执行 完 病 
毒 代 码 后 再 运行 宿主 程序 。 当 病毒 插入 在 文件 中 间 位 置 时 ,由 于 宿主 程序 被 病毒 一 分 为 二 ， 
一 方面 需要 采用 零 长 度 插 和 人 技术 使 得 病毒 的 隐藏 更 加 隐蔽 ; 另 一 方面 病毒 插入 后 不 能 影响 
宿主 程序 的 运行 ,同时 还 要 使 病毒 优先 于 宿主 程序 运行 ,这 对 病毒 的 编写 提出 了 更 高 的 
要 求 。 

零 长 度 插入 技术 是 指 病毒 感染 宿主 文件 时 ,将 其 病毒 代码 放 和 宿主 程序 ,并 不 会 增加 宿 
主 程序 的 长 度 , 但 能 够 实现 攻击 行为 。 此 类 病毒 在 感染 时 ,采取 了 特殊 方式 ,首先 在 宿主 程 
序 中 寻找 “空洞 ”( 具 有 足够 长 度 的 全 部 为 零 的 程序 数据 区 或 堆栈 区 ) ,将 病毒 代码 放 入 “ 空 
洞 ?中 ; 然后 改变 宿主 程序 开始 处 的 代码 ,使 隐藏 在 “空洞 "中 的 病毒 代码 能 够 优先 运行 ,并 
在 病毒 运行 结束 时 ,恢复 宿主 程序 开始 处 的 代码 ; 最 后 运行 宿主 程序 。 
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2. 引导 扇 区 病毒 
计算 机 的 启动 过 程 如 图 4-3 所 示 。 首 先 ,BIOS 启动 代码 经 过 一 系列 的 检查 随后 定位 到 
磁盘 的 主 引导 区 ,运行 存储 在 其 中 的 主 引 导 记 录 ; 随后 , 主 引导 记录 从 分 区 表 中 找到 第 一 个 
活动 分 区 ,并 执行 其 中 的 分 区 引导 记录 ; 最 后 ,分 区 引导 记录 负责 装载 操作 系统 。 
一 


BIOS | | 主 引导 记录 | | 分 区 引导 记录 | | 操作 系统 
< 7 a 


图 4-3 计算 机 的 启动 过 程 


在 以 上 过 程 中 ,引导 型 病毒 的 攻击 目标 就 是 主 引 导 区 和 分 区 引导 区 。 通 过 感染 引导 区 
上 的 引导 记录 ,计算 机 病毒 就 可 以 在 系统 启动 时 优先 于 操作 系统 取得 系统 的 控制 权 , 实 现 对 
系统 的 控制 。 

3. 宏 病毒 

传统 意义 上 ,在 计算 机 中 存储 的 . doc/. docx、. pdf、. dwg 等 数据 文件 都 是 非 执 行文 件 ， 
这 些 文件 不 会 感染 可 执行 文件 病毒 。 但 是 ,目前 大 量 使 用 的 数据 文件 格式 支持 在 其 中 保存 
一 些 可 执行 代码 ,使 得 应 用 软件 在 打开 这 些 数 据 文件 时 自动 执行 所 保存 的 代码 ,从 而 完成 一 
些 自动 化 数据 处 理 功 能 。 数 据 文件 中 保存 的 可 执行 代码 称 为 “ 宏 ”"(Macro), 目 前 支持 宏 指 
令 的 软件 包括 Office、AutoCAD Flash Player、Adobe Reader 等 。 

由 于 保存 在 数据 文件 中 的 宏 指 令 可 以 在 文件 打开 时 被 执行 ,所 以 这 些 特定 格式 的 数据 
文件 便 成 为 计算 机 病毒 的 攻击 目标 。 宏 病毒 是 一 种 寄存 在 数据 文件 中 的 计算 机 病毒 , 它 感 
染 数据 文件 的 方式 是 将 自身 以 宏 指 令 的 方式 复制 到 数据 文件 中 , 当 被 感染 了 宏 病 毒 的 数据 
文件 在 应 用 软件 中 打开 时 便 自动 执行 宏 指 令 , 完 成 病毒 的 引导 。 以 Word 宏 病 毒 为 例 , 当 
Word 文件 感染 了 宏 病 毒 后 ,一 旦 用 Word 软件 打开 该 文件 ,其 中 的 宏 就 会 被 执行 ,于 是 宏 病 
毒 就 会 被 激活 ,转移 到 计算 机 上 ,并 驻 留 在 Normal 模板 上 。 从 此 以 后 ,所 有 自动 保存 的 文 
档 都 会 “感染 "上 这 种 宏 病 毒 ,而 且 如 果 其 他 用 户 打 开 了 感染 病毒 的 文档 , 宏 病 毒 又 会 转移 到 
他 们 的 计算 机 上 。 


4.1.5 计算 机 病毒 的 传播 机 制 


处 于 隐藏 状态 的 病毒 一 旦 条 件 具备 就 会 被 激活 ,根据 病毒 编写 者 预 设 的 感染 机 制 将 自 
己 复制 到 宿主 程序 的 指定 位 置 。 为 了 在 更 短 时 间 、 更 大 范围 内 去 感染 其 他 程序 ,病毒 必须 寻 
找 一 种 能 够 进行 快速 传播 的 方式 ,否则 即使 病毒 的 破坏 能 力 很 强 , 但 无 法 快速 地 感染 其 他 程 
序 , 其 攻击 能 力 将 明显 下 降 。 

计算 机 病毒 的 传播 途径 包括 介质 传播 ,电子 邮件 传播 和 共享 文件 夹 传播 等 。 在 计算 机 
病毒 出 现 的 早期 ,计算 机 之 间 的 文件 交换 主要 使 用 磁盘 ,所 以 病毒 多 通过 感染 磁盘 中 的 可 执 
行文 件 或 引导 区 来 传播 。 现 在 人 们 普遍 使 用 U 盘 \ 移 动 硬 盘 、 光 盘 、 存 储 卡 等 存储 介质 而 不 
再 使 用 磁盘 ,计算 机 病毒 也 随 之 发 生 着 变化 。 例 如 ,针对 U 盘 的 病毒 , 当 隐 藏 有 病毒 的 U 盘 
插入 到 一 台 计 算 机 中 ,在 使 用 者 双击 打开 U 盘 文 件 浏览 时 ,Windows 默认 会 以 autorun. inf 
文件 中 的 设置 去 运行 U 盘 中 的 病毒 程序 ,此 时 Windows 操作 系统 就 会 被 感染 病毒 。 电 子 
邮件 病毒 通过 在 邮件 正文 或 附件 中 加 载 病毒 代码 来 传播 ,目前 大 部 分 邮件 正文 支持 HTML 
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方式 , 即 当 用 户 在 浏览 器 中 打开 邮件 时 ,其 正文 是 一 个 Web 页 面 。 利 用 该 工作 机 制 ,一 些 病 
毒 便 嵌入 在 Web 代码 中 , 当 用 户 打开 邮件 时 直接 运行 或 待 用 户 单 击 链接 后 自动 下 载 。 邮 件 
附件 是 一 些 病毒 主要 的 选择 目标 之 一 , 当 感染 了 病毒 的 邮件 附件 被 用 户 下 载 后 ,病毒 将 进入 
用 户 所 使 用 的 计算 机 。 利 用 共享 文件 夹 传播 感染 了 病毒 的 文件 是 一 种 常见 的 病毒 传播 方 
式 , 该 方式 不 仅 影响 使 用 NetBIOS 协议 的 Windows* 网 上 邻居 ”的 文件 共享 ,而 且 影 响 到 使 
用 SMB 和 CIFS 共享 及 P2P 共享 ,甚至 是 网 盘 共 享 等 。 利 用 文件 共享 机 制 ,病毒 还 可 以 搜 
索 可 写 的 共享 文件 夹 ,并 将 自己 复制 到 其 中 。 


4.1.6 计算 机 病毒 的 防范 方法 

计算 机 病毒 的 防御 需要 通过 建立 有 效 的 防范 体系 和 管理 制度 ,从 技术 、 制 度 和 习惯 各 个 
层面 同时 开展 工作 ,具体 可 从 预防 、 检 测 和 清除 3 个 方面 进行 计算 机 病毒 的 防御 。 

1. 病毒 的 预防 


有 效 预 防 计算 机 病毒 ,可 从 以 下 几 个 方面 加 强 管理 或 提高 安全 意识 。 
(1) 使 用 正版 软件 。 正 版 软件 一 般 有 一 定 的 安全 保障 ,不 会 因为 这 些 软件 本 身 隐 藏 计 





算 机 病毒 而 感染 计算 机 。 

(2) 安装 反 病 毒 软件 。 在 安装 好 操作 系统 后 ,首先 要 安装 一 套 功能 较为 齐全 的 反 病毒 
软件 。 

(3) 备份 重要 数据 。 为 了 防止 重要 数据 被 病毒 修改 后 无 法 恢复 ,要 养 成 对 重要 数据 进 
行 及 时 备份 的 习惯 。 


(4) 加 强 文件 传输 过 程 中 的 安全 管理 。 不 论 是 通过 U 盘 等 移动 存储 介质 在 计算 机 之 
间 复 制 文件 ,还 是 通过 网 盘 .邮箱 等 方式 传输 或 转发 文件 ,在 打开 文件 之 前 一 定 要 进行 查 病 
毒 操作 ,防止 这 些 文件 里 隐藏 有 病毒 。 

(5) 不 打开 可 疑 的 Web 链接 。 对 于 可 疑 的 邮件 附件 、Web 链接 ,不 要 轻易 打开 。 

2. 病毒 的 检测 

由 汉 。 诺 依 曼 体系 结构 可 知 ,计算 机 系统 中 所 有 信息 最 终 均 以 二 进 制 字 节 序列 存储 。 
因此 ,计算 机 病毒 检测 的 实质 就 是 一 个 依据 相关 规则 与 先 验 知识 ,通过 某 种 算法 对 二 进 制 
(或 十 六 进 制 ) 字 节 序 列 进行 模式 识别 的 问题 。 目 前 ,常见 计算 机 病毒 的 检测 方法 主要 分 为 
以 下 几 种 类 型 。 

(1) 特征 代码 法 。 特 征 代码 法 是 利用 已 经 创建 的 计算 机 病毒 的 特征 代码 病毒 样本 库 ， 
在 具体 检测 时 比 对 被 检测 的 文件 中 是 否 存在 病毒 样本 库 中 存在 的 代码 ,如 果 有 就 认为 该 文 
件 感染 了 病毒 ,并 根据 样本 库 来 确定 具体 的 病毒 名 称 。 

很 显然 ,特征 代码 法 的 有 效 性 建立 在 完善 的 病毒 样本 库 的 基础 上 。 病 毒 样本 库 的 建立 
需要 采集 已 知 病毒 的 样本 , 即 提取 病毒 的 特征 代码 。 提 取 病 毒 特征 代码 的 基本 原则 是 : 提 
取 到 的 病毒 特征 代码 具有 独特 性 , 即 不 能 与 正常 程序 的 代码 吻合 ; 同时 ,提取 到 的 病毒 特征 
代码 长 度 应 尽 可 能 小 些 , 以 减 小 比 对 时 的 空间 和 时 间 开 销 。 

特征 代码 法 的 优点 是 检测 准确 .速度 快 . 误 报 率 低 , 且 能 够 确定 病毒 的 具体 名 称 ; 但 缺 
点 是 不 能 检测 出 病毒 样本 库 中 没有 的 新 病毒 。 该 方法 在 单机 环境 中 的 检测 效果 较 好 ,但 在 
网 络 环境 中 的 检测 效率 较 低 。 
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(2) 校 验 和 法 。 校 验 和 法 是 指 首先 计算 出 正常 文件 程序 代码 的 校 验 和 (如 Hash 值 )， 
并 保存 在 数据 库 中 ,在 具体 检测 时 将 被 检测 程序 的 校 验 和 与 数据 库 中 的 值 进行 比 对 ,以 判断 
是 否 感染 了 计算 机 病毒 。 

校 验 和 法 的 优点 是 可 检测 到 各 种 计算 机 病毒 (包括 未 知 病毒 ) ,能 够 发 现 被 检测 文件 的 
细微 变化 ; 但 其 缺点 是 误差 率 较 高 ,因为 某 些 正常 的 程序 操作 引起 的 文件 内 容 改 变 会 被 误 
认为 是 病毒 攻击 所 致 。 同 时 ,该 方法 无 法 确定 具体 的 病毒 名 称 。 

(3) 状态 监测 法 。 状 态 监 测 是 利用 计算 机 病毒 感染 及 破坏 时 表现 出 的 一 些 与 正常 程序 
不 同 的 特殊 的 状态 特征 ,以 及 人 为 的 经 验 来 判断 是 否 感 染 了 计算 机 病毒 。 通 过 对 计算 机 病 
毒 的 长 期 观察 ,识别 出 病毒 行为 的 具体 特征 。 当 系统 运行 时 ,监视 其 行为 ,如 果 出 现 病毒 感 
染 ,立即 进行 识别 。 

从 原理 上 讲 ,状态 监测 法 可 以 发 现 包 括 未 知 病毒 的 几乎 所 有 的 病毒 ,但 与 校 验 和 法 一 样 
都 可 能 产生 误 报 ,同时 无 法 识别 病毒 的 具体 名 称 。 

(4) 软件 模拟 法 。 软 件 模拟 法 专门 针对 多 态 病毒 。 多 态 病 毒 是 指 每 次 传染 产生 的 病毒 
副本 特征 代码 都 发 生变 化 的 病毒 。 由 于 多 态 病 毒 没 有 固定 的 特征 代码 ,并 且 在 传播 过 程 中 
使 用 不 固定 的 密 钥 或 随机 数 来 加 密 病 毒 代 码 ,或 者 在 病毒 运行 过 程 中 直接 改变 病毒 代码 ,所 
以 增加 了 病毒 检测 的 难度 。 软 件 模拟 技术 可 监视 病毒 的 运行 ,并 可 以 在 设置 的 虚拟 机 环境 
下 模拟 执行 病毒 的 解码 程序 ,将 病毒 密码 进行 破译 ,还 原 真 实 的 病毒 程序 代码 。 

软件 模拟 法 将 虚拟 机 技术 应 用 到 计算 机 病毒 的 检测 中 ,可 以 有 效应 对 通过 加 密 进 行 变 
形 的 病毒 ,但 对 计算 机 软 硬 件 环境 的 要 求 相 对 较 高 。 

3. 病毒 的 清除 

计算 机 病毒 的 清除 是 一 个 较为 复杂 的 过 程 ,从 操作 过 程 来 看 可 分 为 手工 清除 和 软件 清 
除 两 种 方法 。 手 工 清除 是 操作 系统 在 检测 到 病毒 后 ,从 受 感染 的 文件 中 删除 病毒 并 恢复 正 
常 的 程序 ; 而 软件 清除 一 般 是 使 用 专用 杀毒 软件 实现 对 病毒 的 自动 检测 和 清除 操作 。 不 管 
采用 哪 种 方法 ,其 目的 都 是 将 病毒 代码 从 受 感染 的 程序 中 清除 而 不 破坏 原 有 的 程序 。 例 如 ， 
对 于 引导 型 病毒 ,可 识别 针对 的 是 Boot 扇 区 .FAT 表 和 主 引导 区 中 的 哪 一 种 ,从 而 有 针对 
性 地 采取 相应 的 方法 来 清除 病毒 代码 ; 对 于 文件 型 病毒 , 则 需要 在 完全 掌握 病毒 特征 代码 
后 ,将 特征 代码 从 原 有 的 程序 中 清除 掉 。 不 过 ,如 果 文 件 同时 遭 到 多 种 病毒 的 交叉 感染 ,就 
需要 同时 采取 多 种 方法 对 病毒 代码 进行 清除 操作 。 


4.2 里 虫 


蠕虫 (也 称 为 网 络 蠕虫 ) 是 一 种 智能 化 、 自 动 化 的 ,综合 网 络 攻 击 、 密 码 学 和 计算 机 病毒 
技术 ,不 需要 计算 机 使 用 者 干预 即 可 运行 的 攻击 程序 或 代码 。 它 会 扫描 和 攻击 网 络 上 存在 
系统 漏洞 的 节点 主机 ,通过 局 域 网 或 者 国际 互联 网 从 一 个 节点 传播 到 另外 一 个 节点 。 网 络 
蠕虫 具有 智能 化 .自动 化 和 高 技术 化 的 特征 。 随 着 互联 网 应 用 的 不 断 普及 和 深入 ,蠕虫 对 计 
算 机 系统 安全 和 网 络 安全 的 威胁 日 益 增 强 。 特 别 是 在 网 络 环境 下 ,多样 化 的 传播 途径 和 复 
杂 的 应 用 环境 使 蠕虫 的 发 生 频 率 增高 ,潜伏 性 变 强 ,覆盖 面 更 广 , 造 成 的 损失 也 更 大 。 
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4.2.1 网 络 蠕虫 的 特征 与 工作 机 制 


计算 机 病毒 .网 络 蠕虫 (简称 蠕虫 ) 和 木马 都 属于 恶意 代码 ,在 蠕虫 刚刚 出 现时 将 其 作为 
计算 机 病毒 对 待 ,但 在 发 展 过程 中 蠕虫 逐渐 形成 了 其 独 有 的 特征 和 传播 机 制 。 

1. 网 络 蠕虫 与 计算 机 病毒 之 间 的 区 别 

自从 1988 年 Morris( 莫 里 斯 ) 蠕 虫 爆发 后 ,为 了 区 分 蠕虫 和 病毒 ,对 病毒 重新 进行 了 定 
义 : 计算 机 病毒 是 一 段 代码 ,能 把 自身 加 到 其 他 程序 包括 操作 系统 上 , 它 不 能 独立 运行 , 需 
要 由 它 的 宿主 程序 运行 来 激活 ; 而 网 络 蠕虫 是 通过 网 络 传播 ,无 须 用 户 干 预 且 能 够 独立 地 
或 者 依赖 文件 共享 主动 攻击 的 恶意 代码 ,通过 不 停 地 获得 网 络 中 存在 漏洞 的 计算 机 上 的 部 
分 或 全 部 控制 权 来 进行 传播 。 网 络 蠕虫 强调 自身 的 主动 性 和 独立 性 ,具有 主动 攻击 行踪 隐 
项 、 利 用 漏洞 .造成 网 络 拥塞 .降低 系统 性 能 .产生 安全 隐患 、 反 复 性 和 破坏 性 等 特征 。 

2. 网 络 蠕虫 的 功能 结构 


网 络 蠕虫 的 功能 结构 包括 主体 功能 和 辅助 功能 两 部 分 。 其 中 ,主体 功能 包括 信息 搜集 
模块 .探测 模块 、 攻 击 模块 和 自我 推进 模块 4 个 模块 ; 辅助 功能 包括 实体 隐藏 模块 、 宿 主 破 
坏 模块 .通信 模块 .远程 控制 模块 和 自动 更 新 模块 5 个 模块 。 图 4-4 是 网 络 蠕虫 的 功能 结 
构 , 表 4-1 是 对 各 功能 模块 的 描述 。 
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图 4-4 网 络 蠕虫 的 功能 结构 
表 4-1 网 络 蠕虫 功能 模块 的 描述 











模块 名 称 功能 模块 的 描述 
信息 搜集 模块 决定 对 本 地 或 目标 网 络 进行 信息 搜集 的 算法 ,本 机 系统 信息 、 用 户 信 
a 息 、 邮 件 列 表 、 对 本 机 信任 或 授权 的 主机 、 本 机 所 处 网 络 的 拓扑 结构 、 
边界 路 由 信息 等 
探测 模块 
完成 对 特定 主机 的 脆弱 性 检测 ,并 决定 采用 哪 种 渗透 方式 发 起 攻击 
(Probe module) 
攻击 模块 该 模块 利用 获得 的 安全 漏洞 ,建立 传播 途径 。 在 攻击 方法 上 是 开放 
(Attack module) 的 、 可 扩充 的 




















114 网 络 攻击 与 防御 技术 
续 表 
模块 名 称 功能 模块 的 描述 
自我 推进 模块 该 模块 可 以 采用 各 种 形式 生成 各 种 形态 的 蠕虫 副本 ,在 不 同 主机 间 
(self-propagating module) 完成 蠕虫 副本 传递 
实体 隐藏 模块 包括 对 蠕虫 各 个 实体 组 成 部 分 的 隐藏 变形、 加密 及 进程 的 隐藏 , 主 
(Concealment module) 要 提高 蠕虫 的 生存 能 力 
宿主 破坏 模块 该 模块 用 于 摧毁 或 破坏 被 感染 主机 ,破坏 网 络 正常 运行 ,在 被 感染 主 


(Crash module) 


机 上 留 下 后 门 等 





通信 模块 


(Communication module) 


该 模块 能 使 蠕虫 间 、 蠕 虫 同 黑客 之 间 进 行 交流 (这 是 未 来 蠕虫 发 展 的 
重点 ); 利用 通信 模块 ,蠕虫 间 可 以 共享 某 些 信息 ,使 蜂 虫 的 编写 者 
更 好 地 控制 蠕虫 行为 








远程 控制 模块 该 模块 的 功能 是 调整 蠕虫 行为 ,控制 被 感染 主机 ,执行 蠕虫 编写 者 下 
(Remote control module) 达 的 指令 
自动 更 新 模块 该 模块 可 以 使 蠕虫 编写 者 随时 更 新 其 他 模块 的 功能 ,从 而 实现 不 同 


(Automatic updating module) 





的 攻击 目的 


3. 网 络 蠕虫 的 工作 机 制 

网 络 蠕虫 的 工作 机 制 如 图 4-5 所 示 。 通 过 前 文 对 网 络 蠕虫 功能 结构 的 介绍 ,尤其 是 从 
网 络 蠕虫 主体 功能 模块 实现 可 以 看 出 ,网 络 蠕虫 的 攻击 行为 可 以 分 为 信息 搜集 (collect 
information) ,探测 (probe) ,攻击 (attack) 和 自我 推进 (self-propagate)4 个 阶段 。 其 中 ,信息 
搜集 主要 完成 对 本 地 和 目标 节点 主机 的 信息 汇集 ,探测 主要 完成 对 具体 目标 主机 服务 漏洞 
的 检测 ,攻击 利用 已 发 现 的 服务 漏洞 实施 攻击 ,自我 推进 完成 对 目标 节点 的 感染 。 


wy 信息 搜集 


Bs 自我 推进 一 一 一 




















主机 A 
(被 感染 主机 ) 


主机 B 
(攻击 目标 主机 ) 


图 4-5 网 络 蠕虫 的 工作 机 制 


4.2.2 网 络 蠕虫 的 扫描 方式 


蠕虫 利用 系统 漏洞 进行 传播 。 在 传播 前 首先 要 进行 对 攻击 目标 主机 的 探测 ,设计 良好 
的 扫描 策略 能 够 加 速 蠕虫 传播 。 在 Internet 中 ,理想 状态 下 一 个 通过 精心 设计 的 扫描 策略 
能 够 使 蠕虫 在 最 短 时 间 内 找到 全 部 可 以 感染 的 主机 。 按 照 对 目标 地 址 空间 的 选择 方式 的 不 
同 ,可 以 将 蠕虫 的 扫描 方式 分 为 以 下 几 种 类 型 。 

1. 选择 性 随机 扫描 (selective random scan) 

蠕虫 在 对 目标 主机 进行 扫描 时 ,如 果 遍 历 所 有 的 主机 在 Internet 环境 中 几乎 是 不 现实 
的 ,最 可 行 的 方式 是 有 选择 性 地 进行 扫描 。 如 果 采 取 随 机 扫描 方式 ,会 对 整个 地 址 空间 的 
IP 随机 抽取 进行 扫描 ,而 选择 性 随机 扫描 将 最 有 可 能 存在 漏洞 主机 的 地 址 集 作为 扫描 的 地 
址 空间 。 选 择 性 随机 扫描 也 是 随机 扫描 方式 的 一 种 。 在 选择 性 随机 扫描 中 ,所 选 的 目标 地 
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址 按照 一 定 的 算法 随机 生成 ,如 互联 网 地 址 空间 中 未 分 配 或 者 保留 的 IP 地 址 块 可 排除 在 扫 
描 范 围 之 外 。 选 择 性 随机 扫描 具有 算法 简单 、. 易 实现 的 特点 ,如 果 与 本 地 优先 原则 结合 , 则 
能 达到 更 好 的 传播 效果 。 但 选择 性 随机 扫描 容易 引起 网 络 阻塞 ,使 得 网 络 蠕虫 在 爆发 之 前 
易 被 发 现 ,隐蔽 性 差 。 

2. 顺序 扫描 (sequential scan) 

顺序 扫描 是 指 被 感染 主机 上 蠕虫 会 随机 选择 一 个 C 类 网 络 地 址 进行 传播 。 根 据 本 地 
优先 原则 ,蠕虫 一 般 会 选择 它 所 在 网 络 内 的 IP 地 址 段 。 如 果 蠕 虫 扫描 的 目标 主机 IP 地 址 
的 主机 ID 为 n, 则 扫描 的 下 一 个 地 址 IP 为 z 十 1 或 者 "一 1。 

3. 目标 地 址 列表 扫描 (hit-list scan) 

目标 地 址 列表 扫描 是 指 网 络 蠕虫 在 寻找 受 感染 的 目标 之 前 预先 生成 一 份 可 能 易 传染 的 
目标 列表 ,然后 对 该 列表 进行 攻击 尝试 和 传播 。 目标 列 表 生 成 方法 有 两 种 : 一 种 是 通过 小 
规模 的 扫描 或 Internet 的 共享 信息 产生 目标 列表 ; 另 一 种 是 通过 分 布 式 扫描 生成 全 面 的 列 
表 数 据 库 。 

4. 基于 路 由 的 扫描 (routable scan) 

基于 路 由 的 扫描 是 网 络 蠕虫 根据 网 络 中 的 路 由 信息 ,对 IP 地 址 空间 进行 选择 性 扫描 的 
一 种 方法 。 采 用 随机 扫描 的 网 络 蠕虫 会 对 未 分 配 的 地 址 空间 进行 探测 ,而 这 些 地 址 大 部 分 
在 Internet 上 是 无 法 路 由 的 (保留 的 私有 IP 地 址 ) ,因此 会 影响 到 蠕虫 的 传播 速度 。 如 果 网 
络 蠕虫 能 够 知道 哪些 IP 地 址 是 可 路 由 的 , 它 就 能 够 更 快 . 更 有 效 地 进行 传播 ,并 能 逃避 一 些 
对 抗 工 具 的 检测 。 基 于 路 由 的 扫描 极 大 地 提高 了 蠕虫 的 传播 速度 ,以 CodeRed( 红 色 代 码 ) 
为 例 , 路 由 扫描 蠕虫 的 感染 率 是 随机 扫描 蠕虫 感染 率 的 3. 5 倍 。 基 于 路 由 扫描 的 不 足 是 网 
络 蠕虫 传播 时 必须 携带 一 个 路 由 IP 地 址 库 ,蠕虫 代码 量 大 。 

5. 基于 DNS 扫描 (DNS scan) 

基于 DNS 扫描 是 指 网 络 蠕虫 从 DNS 服务 器 上 获取 IP 地 址 来 建立 目标 地 址 库 。 由 于 
该 方式 中 被 扫描 的 对 象 是 为 Internet 提供 实时 域名 解析 服务 的 DNS 服务 器 ,所 以 该 扫描 方 
式 的 优点 是 获得 的 IP 地 址 块 具 有 针对 性 , 且 可 用 性 强 。 基 于 DNS 扫描 的 不 足 是 较 难 得 到 
DNS 记录 的 完整 地 址 列表 ,而 且 蠕 虫 代码 需要 携带 较 大 的 地 址 库 ,传播 速度 慢 ,同时 目标 地 
址 列表 中 的 地 址 数 受 公共 域名 主机 的 限制 。 

6. 分 治 扫描 (divide-conquer scan) 

分 治 扫描 是 网 络 蠕虫 之 间 相互 协作 、 快 速 搜索 易 感 染 主机 的 一 种 方式 。 网 络 蠕虫 发 送 
地 址 库 的 一 部 分 给 每 台 被 感染 的 主机 ,然后 每 台 主机 再 去 扫描 它 所 获得 的 地 址 。 主 机 A 感 
染 了 主机 B 以 后 ,主机 A 将 它 自身 携带 的 地 址 分 出 一 部 分 给 主机 B, 然 后 主机 B 开始 扫描 
这 一 部 分 地 址 。 分 治 扫描 方式 的 不 足 是 存在 “ 坏 点 ”问题 , 即 在 蠕虫 传播 的 过 程 中 ,如 果 一 台 
主机 死机 或 崩溃 ,那么 所 有 传 给 它 的 地 址 库 就 会 丢失 。“ 坏 点 ”问题 发 生得 越 早 ,影响 就 越 
大 。 常 用 的 解决 “ 坏 点 ”问题 的 方法 有 3 种 : 在 蠕虫 传递 地 址 库 之 前 产生 目标 列表 ; 通过 计 
数 器 来 控制 蠕虫 的 传播 情况 ,蠕虫 每 感染 一 个 节点 ,计数 器 加 1, 然 后 根据 计数 器 的 值 来 分 
配 任务 ; 蠕虫 传播 的 时 候 随机 决定 是 否 重 传 数据 库 。 

7. 被 动 式 扫描 (passive scan) 


被 动 式 传播 蠕虫 不 需要 主动 扫描 就 能 够 传播 。 这 类 蠕虫 会 等 待 潜在 的 攻击 对 象 来 主动 
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接触 它们 ,或 者 依赖 用 户 的 活动 去 发 现 新 的 攻击 目标 。 由 于 这 类 蠕虫 需要 用 户 触 发 ,所 以 传 
播 速度 很 慢 , 但 这 类 蠕虫 在 发 现 目标 的 过 程 中 并 不 会 引起 通信 和 异常。 这 类 蠕虫 自身 有 更 强 
的 安全 性 。 例 如 ,CRClean 会 等 待 CodeRedII 的 探测 活动 , 当 它 探测 到 一 个 感染 企图 时 ,就 
发 起 一 个 反攻 来 回应 该 感染 企图 ,如 果 反 攻 成 功 , 它 就 删除 CodeRedII, 并 将 自己 安装 到 相 
应 的 机 器 上 。 

通过 以 上 对 7 类 蠕虫 扫描 方式 的 介绍 ,有 4 个 关键 因素 影响 着 网 络 蠕虫 的 传播 速度 : 
目标 地 址 空间 选择 、 是 否 采用 多 线程 搜索 易 感染 主机 、 是 否 有 易 感 染 主机 列表 (Hit-list) 及 
传播 途径 的 多 样 化 。 各 种 扫描 策略 的 差异 主要 在 于 目标 地 址 空间 的 选择 。 网 络 蠕虫 感染 一 
台 主 机 的 时 间 取决 于 蠕虫 搜索 到 易 感 染 主 机 所 需要 的 时 间 。 因 此 ,网 络 蠕虫 快速 传播 的 关 
键 在 于 设计 良好 的 扫描 方式 。 一 般 情况 下 ,采用 DNS 扫描 传播 的 蠕虫 速度 最 慢 ,选择 性 扫 
描 和 路 由 扫描 比 随 机 扫描 的 速度 要 快 。 分 治 扫描 目前 还 没有 找到 易于 实现 且 有 效 的 算法 。 


4.2.3 网 络 蠕虫 的 防范 方法 


网 络 蠕虫 已 经 成 为 网 络 系统 的 极 大 威胁 ,由 于 网 络 蠕虫 具有 相当 的 复杂 性 和 行为 不 确 
定性 。 从 目前 发 生 的 多 起 蠕虫 爆发 事例 可 以 看 出 ,从 发 现 漏洞 到 蠕虫 爆发 的 时 间 越 来 越 短 ， 
但 从 蠕虫 爆发 到 蠕虫 被 消灭 的 时 间 却 越 来 越 长 ,网络 蠕虫 的 防范 和 控制 越 来 越 困 难 。 目 前 ， 
网 络 蠕虫 的 防御 和 控制 主要 采用 人 工 手段 ,针对 主机 主要 采用 手工 检查 .清除 ,利用 软件 检 
查 ,清除 ,给 系统 打 补 丁 、 升 级 系统 ,采用 个 人 防火 墙 , 断 开 感 染 蠕 虫 的 机 器 等 方法 ; 针对 网 
络 主要 采用 在 防火 墙 或 边缘 路 由 器 上 关闭 与 蠕虫 相关 的 端口 ` 设 置 访问 控制 列表 和 设置 内 
容 过 滤 等 方法 。 

由 于 蠕虫 的 爆发 非常 迅速 ,而且 不 同类 型 的 蠕虫 针对 的 攻击 对 象 不 尽 相 同 ,所 以 采取 的 
防御 手段 也 有 所 不 同 。 下 面 结合 不 同类 型 的 蠕虫 ,介绍 几 种 防御 方法 。 

1. 基于 蜜 缸 技术 的 蠕虫 检测 和 防御 

早期 蜜 饶 (HoneyPot) 技 术 主 要 用 于 防范 网 络 攻 击 , 随 着 技术 的 发 展 , 蜜 饶 技 术 也 开始 
应 用 于 蠕虫 等 恶意 代码 的 检测 和 防御 中 。 例 如 ,在 边界 网 关 或 易 受 到 蠕虫 攻击 的 地 方 放置 
多 个 蜜 饶 , 蜜 饶 之 间 可 以 相互 共享 捕获 的 数据 信息 ,采用 NIDS (Network Intrusion 
Detection System, 网 络 人 侵 检 测 系 统 ) 的 规则 生成 器 产生 网 络 蠕虫 的 匹配 规则 , 当 网 络 蠕虫 
根据 一 定 的 扫描 策略 扫描 存在 漏洞 主机 的 地 址 空间 时 , 蜜 饶 可 以 捕获 网 络 蠕虫 扫描 攻击 的 
数据 ,然后 采用 特征 匹配 来 判断 是 否 有 网 络 蠕虫 攻击 。 

基于 蜜 钢 技术 的 蠕虫 检测 和 防御 方法 可 以 转移 蠕虫 的 攻击 目标 ,降低 蠕虫 的 攻击 效果 。 
同时 , 蜜 钠 为 网 络 安 全 人 员 研 究 蠕 虫 的 工作 机 制 , 追 踪 蠕 虫 攻 击 源 、 预 测 蠕虫 的 攻击 目标 等 
提供 了 大 量 有 效 的 数据 。 另 外 ,由 于 网 络 蠕虫 缺乏 判断 目标 系统 用 途 的 能 力 ,所 以 蜜 缸 具有 
良好 的 隐蔽 性 。 该 技术 的 不 足 表现 为 : 蜜 饶 能 否 诱骗 网 络 蠕虫 依赖 于 大 量 的 因素 ,包括 蜜 
钠 命 名 、 蜜 负 放 置 在 网 络 中 的 位 置 、 蜜 钠 本 身 的 可 靠 性 等 。 同 时 ,虽然 蜜 钠 可 以 发 现存 在 大 
量 扫描 行为 (随机 性 扫描 、 顺 序 扫描 等 ) 的 网 络 蠕虫 ,但 针对 路 由 扫描 和 DNS 扫描 蠕虫 时 , 效 
果 欠 佳 。 另 外 , 蜜 缸 很 少 能 在 蠕虫 传播 的 初期 发 挥 作用 。 

2. 用 良性 蠕虫 抑制 恶意 蠕虫 

最 早 网 络 蠕虫 引入 计算 机 领域 就 是 为 了 进行 科学 辅助 计算 和 大 规模 网 络 的 性 能 测试 ， 
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蠕虫 本 身 也 体现 了 分 布 式 计 算 的 特点 ,所 以 可 以 利用 良性 蠕虫 来 抑制 恶意 蠕虫 。 和 良性 蠕虫 
首先 应 具有 高 度 的 可 控 性 和 非 破坏 性 ,其 次 应 尽量 避免 增加 网 络 负载 。 良 性 蠕虫 可 以 采用 
以 下 几 种 传播 方式 : 利用 恶意 蠕虫 留 下 的 后 门 ; 利用 恶意 蠕虫 攻击 的 漏洞 ; 利用 其 他 未 公 
开 的 系统 漏洞 ; 利用 被 攻击 主机 的 授权 等 。 

良性 蠕虫 可 以 有 效 地 消除 恶意 蠕虫 ,修补 系统 漏洞 ,从 而 减少 网 络 中 易 感染 主机 的 数 
量 。 例 如 ,Cheese 蠕虫 利用 Lion 蠕虫 留 下 的 后 门 控制 被 感染 的 主机 ,清理 掉 主 机 上 的 Lion 
蠕虫 留 下 的 后 门 ,修补 系统 的 漏洞 ，W32. Nachi. Worm 利用 W32. Blaster 所 使 用 系统 的 漏 
洞 对 抗 W32. Blaster。 

良性 蠕虫 具有 以 下 优势 : 良性 蠕虫 对 用 户 透 明 ,不 需要 隐蔽 模块 ,可 以 充分 利用 集中 控 
制 的 优势 ,主体 程序 数据 和 传播 目标 都 从 控制 中 心 获得 ; 采用 分 时 分 段 慢 速 传播 ,尽量 不 
占用 网 络 带 宽 和 主机 资源 ; 同一 个 良性 蠕虫 可 以 执行 不 同 的 任务 ,只 需 从 控制 中 心 下 载 不 
同 的 任务 模块 ,包括 进行 分 布 式 计算 或 者 采集 网 络 数 据 等 ,然后 将 结果 汇总 到 控制 中 心 。 良 
性 蠕虫 是 未 来 蠕虫 研究 的 方向 。 

3. 切断 高 连接 用 户 

随 着 QQ, 微 信 、 新 浪 UC、Skype 等 即时 通信 技术 (Instant Messaging,IM) 的 快速 发 展 ， 
针对 该 类 应 用 的 IM 蠕虫 开始 出 现 并 产生 威胁 。 即 时 通信 是 一 种 基于 Internet 的 网 络 应 
用 ,任意 两 个 即时 通信 客户 端 在 即时 通信 服务 器 的 帮助 下 能 够 实现 方便 而 快捷 的 信息 通信 。 
IM 蠕虫 是 网 络 蠕虫 的 一 种 ,是 一 种 利用 即时 通信 系统 和 即时 通信 协议 的 漏洞 或 者 技术 特 
征 进行 攻击 ,并 在 即时 通信 网 络 内 传播 的 网 络 蠕虫 。 

针对 IM 蠕虫 ,可 采取 的 防御 方法 是 : 切断 用 户 与 服务 器 之 间 的 连接 ,使 其 无 法 进行 即 
时 通信 ,从 而 减缓 IM 蠕虫 的 传播 速度 ,为 IM 蠕虫 分 析 和 发 布 补丁 赢得 时 间 。 该 方法 虽然 
能 够 起 到 延缓 IM 蠕虫 传播 的 作用 ,但 是 仍 会 给 一 些 用 户 带 来 严重 的 影响 。 


4.3 木 马 


出 现 于 1986 年 的 “PC-Write 木马 ?是 世界 上 第 一 个 计算 机 木马 , 它 伪 装 成 共享 软件 
PC-Write 的 2.72 版 本 (事实 上 ,编写 PC-Write 的 Quicksoft 公司 从 未 发 行 过 2. 72 版 本 ) ， 
一 旦 用 户 信以为真 ,运行 该 木马 程序 ,那么 结局 就 是 用 户 硬 盘 被 格式 化 。 


4.3.1 木马 的 概念 及 基本 特征 

作为 恶意 代码 家 族 中 一 个 特殊 的 成 员 , 木 马 技术 伴随 着 整个 互联 网 技术 的 发 展 快速 发 
展 ,其 概念 的 内 涵 和 外 延 也 在 不 断 变 化 ,其 特征 也 更 加 突出 。 

1. 木马 的 概念 


特洛伊 木马 (Trojan) 简 称 木马 ,是 一 种 新 型 的 恶意 代码 。 它 利用 自身 所 具有 的 植 人 功 
能 ,或 依附 其 他 具有 传播 能 力 的 病毒 ,或 通过 入 侵 后 植 入 等 多 种 途径 ,进驻 目标 主机 ,搜集 其 
中 各 种 敏感 信息 ,并 通过 网 络 与 外 界 通信 ,向 指定 的 地 址 发 回 所 搜集 到 的 各 种 敏感 信息 (如 
窃取 口令 ,银行 账号 和 密码 等 ) ,同时 还 会 接受 植 人 者 的 指令 ,完成 其 他 各 种 操作 ,如 修改 指 
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定 文件 .格式 化 硬盘 等 ,而 且 还 会 对 目标 主机 进行 远程 控制 。 

2. 木马 与 其 他 恶意 软件 之 间 的 关系 

计算 机 病毒 .蠕虫 和 木马 都 属于 恶意 代码 ,但 木马 的 一 个 显著 特征 是 其 具有 较 强 的 潜伏 
隐藏 能 力 ,隐藏 手段 与 工作 平台 密切 相关 。 通 过 判别 是 否 具 有 传染 性 可 将 木马 与 病毒 .蠕虫 
区 别 开 来 ,通过 判别 传染 途径 是 局 限于 本 机 还 是 透 过 网 络 可 将 病毒 和 蠕虫 区 别 开 来 。 这 是 
因为 : 计算 机 病毒 寻找 机 会 感染 主机 系统 中 的 程序 , 受 感染 的 程序 再 感染 其 他 程序 ,在 本 地 
系统 进行 复制 传播 ; 计算 机 病毒 寄生 在 其 他 程序 上 ,依赖 于 特定 的 工作 平台 的 蠕虫 主要 通 
过 网 络 从 一 台 主 机 复制 感染 到 另 一 台 主 机 ,占用 系统 资源 和 网 络 带宽 ; 蠕虫 一 般 不 需要 寄 
生 在 其 他 程序 上 ,也 不 依赖 于 特定 的 工作 平台 ; 而 木马 不 以 感染 其 他 程序 为 目的 ,一 般 也 不 
使 用 网 络 进行 主动 复制 传播 。 

传统 的 木马 主要 通过 远程 控制 目标 计算 机 ,在 目标 计算 机 上 进行 查看 删除、 移动 、 上 
传 、 下 载 .执行 文件 等 非法 操作 ,或 者 从 事 垃 圾 信息 发 送 、 键 盘 记 录 、 关 闭 窗口 .鼠标 控制 . 计 
算 机 基本 设置 等 任务 。 随 着 互联 网 的 发 展 ,尤其 是 移动 互联 网 的 不 断 普及 , Web 技术 的 应 
用 催生 了 网 页 木马 的 出 现 。 目 前 ,在 各 类 木马 中 ,网 页 木马 已 是 一 枝 独 秀 ,成 为 Web 安全 的 
主要 隐患 ,而 且 随 着 各 类 芯片 的 广泛 使 用 ,主要 针对 芯片 攻击 的 硬件 木马 开始 出 现 并 对 特定 
硬件 进行 破坏 。 为 此 ,本 节 随 后 的 内 容重 点 介绍 网 页 木马 和 硬件 木马 。 

3. 木马 的 特征 

一 个 典型 的 木马 一 般 具 有 以 下 4 个 基本 特征 。 

(1) 有 效 性 。 在 整个 网 络 入 侵 过 程 中 ,木马 经 常 是 整个 过 程 中 一 个 重要 的 环节 和 组 成 
部 分 。 木 马 运行 在 目标 主机 上 就 必须 能 够 实现 入 侵 者 的 某 些 企图 ,因此 有 效 性 就 是 指 入 侵 
的 木马 能 够 与 其 控制 端 ( 入 侵 者 ) 建 立 某 种 有 效 联 系 ,从 而 能 够 充分 控制 目标 主机 并 窃取 其 
中 的 敏感 信息 。 因 此 有 效 性 是 木马 病毒 的 一 个 最 重要 特点 。 入 侵 木 马 对 目标 主机 的 监控 和 
信息 采集 能 力也 是 衡量 其 有 效 性 的 一 个 重要 内 容 。 

(2) 隐藏 性。 木马 必须 有 能 力 长 期 潜伏 于 目标 主机 中 而 不 被 发 现 。 一 个 隐蔽 性 差 的 森 
马 往往 容易 暴露 自己 ,进而 被 杀毒 (或 木马 专 杀 ) 软 件 甚至 用 户 手工 检查 出 来 ,失去 了 木马 存 
在 的 价值 。 因 此 ,一 个 木马 的 隐藏 性 越 好 ,其 生命 周期 就 越 长 。 

(3) 顽固 性 。 当 木马 被 检查 出 来 (失去 隐蔽 性 ) 之 后 ,为 继续 确保 其 和 人 侵 的 有 效 性 ,木马 
往往 还 具有 另 一 个 重要 特性 一 一 项 固 性 。 木 马 的 顽固 性 是 指 有 效 清 除 木 马 的 难 易 程 度 。 如 
果 一 个 木马 在 检查 出 来 之 后 ,仍然 无 法 将 其 一 次 性 有 效 清除 ,那么 该 木马 就 具有 和 较 强 的 奖 
固 性 。 

(4) 易 植 人 性 。 一 个 木马 要 能 够 发 挥 其 作用 ,其 先决 条 件 是 能 够 进入 目标 主机 ( 植 人 操 
作 )。 因 此 , 易 植 和 性 就 成 为 木马 有 效 性 的 首要 条 件 。 欺 骗 是 自 木 马 诞生 起 最 常见 的 植 人 手 
段 ,所 以 一 些 使 用 广泛 的 工具 软件 就 成 为 木马 经 常 选 择 的 隐藏 处 。 利 用 系统 漏洞 进行 木马 
植 人 也 是 木马 入 侵 的 一 种 重要 途径 。 目 前 ,木马 技术 与 蠕虫 技术 的 结合 使 得 木马 具有 类 似 
蠕虫 的 传播 性 ,这 也 就 极 大 提高 了 木马 的 易 植 人 性 。 

近年 来 ,木马 技术 取得 了 较 大 的 发 展 ,目前 已 彻底 摆脱 了 传统 模式 下 植 入 方法 原始 、 通 
信和 方式 单一 、 隐 蔽 性 差 等 不 足 。 借 助 一 些 新 技术 ,木马 不 再 依赖 于 对 用 户 进行 简单 的 欺骗 ， 
也 可 以 不 必修 改 系统 注册 表 , 不 开 新 端口 ,不 在 磁盘 上 保留 新 文件 ,甚至 可 以 没有 独立 的 进 
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程 ,这 些 新 特点 在 提升 了 木马 性 能 的 同时 ,也 增加 了 防御 的 难度 。 
4.3.2 木马 的 隐藏 技术 


木马 程序 与 普通 远程 管理 程序 的 一 个 显著 区 别 是 它 的 隐藏 性 。 木 马 被 植 人 后 ,通常 利 
用 各 种 手段 来 隐藏 痕迹 ,以 避免 被 发 现 和 追踪 , 尽 可 能 延长 生存 期 。 木 马 的 隐藏 技 术 主要 分 
为 本 地 隐藏 .通信 隐藏 和 协同 隐藏 3 种 。 虽 然 每 一 种 隐藏 技术 的 实现 方法 不 尽 相 同 ,但 归纳 
起 来 主要 分 为 以 下 3 种 。 

(1) 将 木马 隐藏 (附着 、 捆 绑 或 替换 ) 在 合法 程序 中 。 

(2) 修改 或 替换 相应 的 检测 程序 ,对 有 关 木 马 的 输出 信息 进行 隐蔽 处 理 。 

(3) 利用 检测 程序 本 身 的 工作 机 制 或 缺陷 巧妙 地 避 过 木马 检测 。 使 用 这 类 方法 无 须 修 
改 检测 程序 ,就 能 达到 隐藏 的 目的 。 

1. 本 地 隐藏 


本 地 隐藏 是 指 木 马 为 了 防止 被 本 地 用 户 发 现 而 采取 的 隐藏 手段 ,主要 包括 文件 隐藏 、 进 
程 隐藏 .网络 连接 隐藏 .内核 模块 隐藏 .原始 分 发 隐藏 等 。 

(1) 文件 隐藏 。 当 采用 文件 隐藏 技术 时 ,可 通过 以 下 方法 来 实现 。 

Q@ 定制 文件 名 ,伪装 成 正常 的 程序 。 

@ 修改 与 文件 系统 操作 有 关 的 程序 ,以 过 滤 掉 木马 信息 。 

@ 根据 攻击 要 求 ,将 木马 存放 在 特殊 区 域 中 ,如 对 硬盘 进行 低级 操作 时 可 将 一 些 扇 区 
标志 为 坏 区 ,将 木马 文件 隐藏 在 这 些 位置 。 还 可 以 将 文件 存放 在 引导 区 中 避免 被 一 般 用 户 
发 现 。 

在 Linux 系统 中 ,可 以 利用 可 加 载 内 核 模块 (Loadable Kernel Module ,LKM) 技 术 替 
换 系统 调用 ,以 隐藏 木马 文件 信息 。 

(2) 进程 隐藏 。 进 程 隐藏 的 过 程 如 下 。 

@ 通过 附着 或 替换 合法 进程 ,以 合法 身份 运行 。 

@ 修改 进程 管理 程序 ,隐藏 进程 信息 。 

@ 使 用 LKM 技术 替换 系统 调用 ,隐藏 木马 进程 结构 。 

由 于 进程 管理 程序 不 列 出 进程 标识 号 (Pid) 为 0 的 进程 信息 ,因此 把 隐藏 进程 的 Pid 设 
为 0( 空 转 进 程 ) 也 可 以 实现 进程 隐藏 。 

(3) 网 络 连 接 隐藏 。 网 络 连 接 隐 藏 的 过 程 如 下 。 

O@ 复 用 正常 服务 端口 ,为 木马 通信 数据 包 设 置 特 殊 隐 性 标识 ,以 利用 正常 的 网 络 连接 
隐藏 木马 的 通信 状态 。 

@ 修改 显示 网 络 连 接 信 息 的 相关 系统 调用 ,以 过 滤 掉 木马 连接 信息 。 

@ 使 用 网 络 隐蔽 通道 技术 隐藏 木马 通信 连接 信息 。 

@ 利用 LKM 技术 修改 网 络 通信 协议 栈 , 避 免 单 独 运行 监听 进程 ,以 躲避 检测 异常 监 
听 进 程 的 检测 程序 。 

(4) 内 核 模块 隐藏 。 内 核 级 木马 一 般 针 对 Linux 系统 ,使 用 LKM 技术 实现 。Linux 操 
作 系 统 将 LKM 信息 存放 在 一 个 单 链表 中 ,删除 链表 中 相应 的 木马 信息 就 可 规避 一 些 命令 
的 查询 。 例 如 ,执行 lsmod 命令 时 ,会 列 出 所 有 已 载 人 系统 的 模块 。 由 于 LKM 工作 在 操作 
系统 的 内 核 空间 ,对 LKM 的 追踪 要 比 一 般 程 序 困 难得 多 。 
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(5) 原始 分 发 隐藏 。 软 件 开发 商 可 以 在 软件 的 原始 分 发 中 植 入 木马 ,如 “K Thompson” 
编译 器 木马 就 采用 了 原始 分 发 隐藏 技术 。 其 主要 思想 如 下 。 

g@ 修改 编译 器 的 源 代码 A, 植 入 木马 ,包括 针对 特定 程序 的 木马 (如 login 程序 ) 和 针对 
编译 器 的 木马 。 经 修改 后 的 编译 器 源码 称 为 B。 

@ 用 干净 的 编译 器 C 对 B 进行 编译 得 到 被 感染 的 编译 器 D。 

@ 删除 B, 保 留 D 和 人 A, 将 D 和 A 同时 发 布 。 

以 后 ,无 论 用 户 怎样 修改 login 源 程序 ,使 用 D 编译 后 的 目标 login 程序 都 包含 木马 。 
而 更 严重 的 是 用 户 无 法 查 出 原因 ,因为 被 修改 的 编译 器 源码 B 已 被 删除 ,发 布 的 是 A, 用 户 
无 法 从 源 程序 A 中 看 出 破绽 ,即使 用 户 使 用 D 对 A 重新 进行 编译 ,也 无 法 清除 隐藏 在 编译 
器 二 进 制 码 中 的 木马 。 

相对 其 他 隐藏 手段 ,原始 分 发 的 隐藏 手段 更 加 隐蔽 。 这 主要 是 由 于 用 户 无 法 得 到 B, 因 
此 对 这 类 木马 的 检测 非常 困难 。 从 原始 分 发 隐藏 的 实现 机 制 来 看 ,木马 植 入 的 位 置 越 靠 近 
操作 系统 底层 越 不 容易 被 检测 出 来 ,对 系统 安全 构成 的 威胁 也 就 越 大 。 

2. 通信 隐藏 

木马 常用 的 通信 隐藏 方法 是 对 传输 内 容 加 密 ( 但 这 只 能 隐藏 通信 内 容 ,无 法 隐藏 通信 信 
道 ) ,采用 网 络 隐蔽 通道 技术 不 仅 可 以 成 功 地 隐藏 通信 内 容 , 还 可 以 隐藏 通信 信道 。 

传统 的 隐蔽 通道 是 定义 在 操作 系统 进程 之 间 的 ,后 来 发 展 到 了 网 络 环境 中 。 在 TCP/ 
IP 协议 栈 中 ,有 许多 协议 提供 了 可 供 特 殊 条 件 下 使 用 的 填充 字段 或 保留 字段 ,这 些 字段 可 
用 于 建立 网 络 隐蔽 通道 。 木 马 可 以 利用 这 些 网 络 隐蔽 通道 突破 网 络 安全 机 制 。 

采用 网 络 隐蔽 通道 技术 ,如 果 选 用 一 般 安 全 策略 都 允许 的 端口 通信 (如 80 端口 ), 则 可 
轻易 穿 透 防火 墙 和 规避 人 侵 检测 系统 等 安全 机 制 的 检测 ,从 而 具有 很 强 的 隐蔽 性 。 

3. 协同 隐藏 


协同 隐藏 是 指 木马 为 了 能 更 好 地 实现 隐藏 ,达到 长 期 潜伏 的 目的 ,通常 融合 多 种 隐藏 技 
术 ,多 个 木马 或 多 个 木马 部 件 协同 工作 ,保证 木马 的 整体 隐藏 能 力 。 

操作 系统 中 ,客体 的 表现 是 以 其 属性 为 基础 的 ,如 一 个 运行 中 的 程序 包括 程序 文件 目 
录 、\ 程 序 文件 .进程 和 通信 连接 状态 等 属性 。 为 了 隐匿 表现 特征 ,木马 需要 将 其 所 有 属性 隐 
藏 。 由 于 木马 程序 一 般 包 含 多 个 属性 ,因此 仅仅 依靠 单个 木马 程序 或 一 种 隐藏 方法 不 能 很 
好 地 实现 木马 的 隐藏 。 木 马 通常 包含 一 个 完成 主要 功能 的 主 木马 和 若干 个 协同 工作 的 子 木 
马 。 子 木马 协助 主 木 马 实现 功能 和 属性 的 隐藏 。 木 马 协同 隐藏 可 以 是 多 个 木马 之 间 的 协 
同 ,也 可 以 是 一 个 木马 的 多 个 模块 之 间 的 协同 。 


4.3.3 网 页 木马 


网 页 木马 是 在 宏 病 毒 ,传统 木马 等 恶意 代码 基础 上 , 随 着 Web 技术 的 广泛 应 用 发 展 出 
来 的 一 种 新 形态 的 恶意 代码 。 类 似 于 宏 病 毒 通过 Word 等 文档 中 的 恶意 宏 命令 实现 攻击 ， 
网 页 木马 一 般 通 过 HTML 页 面 中 的 一 段 恶 意 脚本 达到 在 客户 端 下 载 , 执 行 恶意 可 执行 文 
件 的 目的 ,而 整个 攻击 流程 是 一 个 "特洛伊 木马 式 ” 的 隐蔽 的 \ 用 户 无 察觉 的 过 程 。 因 此 , 通 
常 称 这 种 攻击 方式 为 “网 页 木马 ”。 
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1. 网 页 木马 的 工作 方式 

网 页 木马 通常 被 人 为 植 人 Web 服务 器 端的 HTML 页 面 中 ,目的 在 于 向 客户 端 传播 恶 
意 程序 。 网 页 木马 的 具体 执行 过 程 为 : 当 客户 端 访问 植 人 了 木马 的 HTML 页 面 时 , 它 利 用 
客户 端 浏 览 器 及 其 插件 存在 的 漏洞 将 恶意 程序 自动 植 人 客户 端 。 网 页 木马 的 表现 形式 是 一 
个 或 一 组 有 链接 关系 、 含 有 (用 VBScript、JavaScript 等 脚本 语言 编写 的 ) 恶意 代码 的 
HTML 页 面 ,恶意 代码 在 该 页 面 或 一 组 相关 页 面 被 客户 端 浏览 器 加 载 、 泻 染 的 过 程 中 被 执 
行 ,并 利用 浏览 器 及 插件 中 的 漏洞 隐蔽 地 下 载 . 安 装 、 执 行 病毒 或 间谍 软件 等 恶意 可 执行 
文件 。 

网 页 木马 是 一 种 客户 端 攻 击 方式 , 相 比 较 蠕虫 等 通过 网 络 主动 进行 自我 复制 、 自 我 传播 
的 方式 ,网 页 木马 部 署 在 网 站 服务 器 端 ,在 用 户 浏览 页 面 时 发 起 攻击 。 这 种 客户 端 攻 击 方 式 
可 以 有 效 地 绕 过 防火 墙 的 检测 ,隐蔽 有 效 地 在 客户 端 植 人 恶意 代码 ,进而 在 用 户 不 知情 的 
情况 下 自动 完成 恶意 可 执行 文件 的 下 载 执行。 在 网 络 攻击 方式 中 ,将 网 页 木马 的 这 种 攻击 
方式 称 为 Drive-by-Download( 过 路 式 下 载 或 偷渡 式 下 载 ) 。 

2. 网 页 木马 的 典型 攻击 流程 

在 众多 的 网 络 攻击 手段 中 ,大 多 数 采 用 主动 攻击 方式 , 即 攻击 者 主动 发 起 对 被 攻击 者 的 
攻击 行为 。 而 网 页 攻击 则 采用 一 种 被 动 攻击 方式 ,攻击 者 针对 客户 端 浏览 器 及 其 插件 存在 
的 某 个 漏洞 ,事先 构造 了 攻击 页 面 ,并 发 布 到 服务 器 上 ,被 动 地 等 待 客户 端 来 访问 。 图 4-6 
是 典型 的 网 页 木马 攻击 流程 ,主要 步骤 如 下 。 


回执 行 攻击 程序 3 执行 攻击 程序 
尝试 触发 漏洞 尝试 触发 漏洞 












Web 客 户 端 B 
网 页 木马 宿主 站 点 ee 





(不 存在 漏洞 ) 





加 攻击 失败 








图 4-6 典型 的 网 页 木马 攻击 流程 


中 Web 客户 端 访问 位 于 网 页 木马 宿主 站 点 上 的 攻击 页 面 (包括 木马 程序 的 Web 页 
面 ) ,其 中 网 页 木马 宿主 站 点 上 存放 着 攻击 脚本 或 攻击 页 面 (攻击 程序 所 在 的 页 面 ) 。 

@ 服务 器 根据 请 求 报 文 的 要 求 ,返回 响应 报 文 ,将 页 面 内 容 ( 包 括 有 木马 程序 ) 返 回 给 
Web 客户 端 。 

@ Web 浏览 器 加 载 和 泻 染 接收 到 的 页 面 内 容 。 此 时 ,页面 中 包含 的 攻击 代码 在 浏览 器 
中 被 执行 ,并 尝试 进行 漏洞 利用 。 

@ 在 不 存在 特定 漏洞 的 浏览 器 中 会 正常 显示 页 面 信息 ,而 在 存在 被 利用 漏洞 的 浏览 器 
中 将 执行 木马 程序 。 
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@ 网 页 木马 攻击 成 功 后 ,被 攻击 的 Web 客户 端 根 据 攻 击 者 事先 编写 程序 中 的 地 址 ,到 
提供 恶意 程序 (计算 机 病毒 .蠕虫 等 ) 的 下 载 站 点 下 载 和 安装 恶意 程序 。 

@ 执行 该 恶意 程序 ,实现 最 终 的 攻击 目的 。 

3. 网 页 木马 的 漏洞 利用 方法 

网 页 木马 的 基本 攻击 方式 是 利用 客户 端 Web 浏览 器 及 其 插件 的 漏洞 获得 一 定 权 限 , 达 
到 下 载 并 执行 恶意 程序 的 目的 (如 图 4-6 中 的 步 又 加 一 步骤 @)。 其 中 ,漏洞 利用 代码 多 用 
JavaScript 、VBScript 等 脚本 语言 编写 ,这 是 因为 浏览 器 提供 了 脚本 语言 与 插件 间 进 行 交 互 
的 API(Application Programming Interface, 应 用 程序 编程 接口 ) 。 攻 击 脚本 通过 非 正常 调 
用 不 安全 的 API 便 可 和 触发 插件 中 的 漏洞 ,同时 攻击 者 也 可 以 利用 脚本 的 灵活 性 对 攻击 脚本 
进行 一 定 的 混淆 处 理 来 对 抗 反 病毒 引擎 的 安全 检查 。 网 页 木马 利用 的 漏洞 主要 分 为 以 下 
两 类 。 

(1) 任意 下 载 API 类 漏洞 。 一 些 版 本 的 浏览 器 插件 在 用 来 提供 下 载 、 更 新 等 功能 的 
API 中 未 进行 安全 检查 ,网 页 木马 可 以 直接 利用 这 些 API 下 载 和 执行 任意 代码 。 在 一 些 复 
杂 的 攻击 场景 中 ,攻击 者 会 将 多 个 API 组合 ,完成 下 载 和 执行 任意 文件 的 目的 。 

(2) 内 在 破坏 类 漏洞 。 网 页 木马 经 常 利用 JavaScript、VBScript 脚本 向 浏览 器 的 内 存 
空间 填充 恶意 可 执行 指令 (ShellCode) ,导致 错误 或 恶意 代码 被 执行 。 内 存 破坏 类 漏洞 是 软 
件 漏洞 中 最 古老 ,也 是 最 严重 的 漏洞 之 一 。 

4. 网 页 挂 马 

从 网 页 木马 的 典型 攻击 流程 和 漏洞 利用 机 制 可 以 发 现 , 网 页 木马 的 核心 是 一 个 带 有 攻 
击 脚本 的 或 是 一 个 非 正 常 构 造 的 攻击 页 面 , 只 有 当 Web 客户 端 访 问 该 攻击 页 面 时 才 可 能 被 
攻击 。 因 此 攻击 者 如 果 要 大 规模 地 感染 客户 端 主 机 ,就 需要 保证 攻击 页 面 有 较 大 的 访问 量 。 
在 网 页 木马 发 展 初期 ,攻击 者 通过 自己 搭建 站 点 来 部 署 攻击 页 面 并 利用 一 些 社会 工程 学 方 
法 诱 使 访问 者 访问 。 但 是 ,近年 来 , 随 着 网 民 安全 意识 的 逐渐 增强 ,使 得 攻击 者 不 得 不 去 寻 
找 新 的 手段 来 增加 攻击 页 面 访问 量 , 其 中 最 主要 的 手段 就 是 网 页 挂 马 。 

网 页 挂 马 是 通过 内 嵌 链 接 将 攻击 脚本 或 攻击 页 面 蔡 入 到 一 个 正规 页 面 ,或 者 利用 重 定 
向 机 制 将 对 正规 页 面 的 访问 重 定向 到 攻击 页 面 。 内 内 链 接 是 HTML 页 面 中 一 类 特殊 的 超 
链接 形式 ,其 特点 是 当 浏览 器 访问 含有 内 衣 链 接 的 页 面 时 ,不 需要 用 户 单 击 , 页 面 中 的 内 内 
链接 指向 的 内 容 就 会 被 自动 加 载 。 

虽然 网 页 挂 马 是 对 网 站 服务 器 中 的 页 面 进行 算 改 ,但 攻击 者 进行 网 页 挂 马 的 目的 在 于 
攻击 客户 端 。 浏览 器 在 访问 被 挂 马 页 面 时 ,依照 感染 链 将 攻击 脚本 或 攻击 页 面 加 载 到 客户 
端 ,最 终 让 客户 端 自动 下 载 、 执 行 恶意 程序 。 

本 节 简 要 介绍 了 网 页 木马 的 概念 ,攻击 流程 和 漏洞 利用 ,将 在 第 6 章 结合 Web 浏览 器 
攻击 ,详细 介绍 网 页 木马 对 浏览 器 构成 的 威胁 及 具体 的 防范 方法 。 


4.3.4 硬件 木马 


随 着 集成 电路 技术 的 迅速 发 展 ,在 半导体 的 制造 过 程 中 有 可 能 人 为 地 设置 一 些 不 安全 
因素 ,甚至 是 直接 植 人 恶意 代码 ,严重 影响 着 芯片 和 硬件 的 可 靠 性 与 安全 性 。 
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1. 硬件 木马 的 定义 

硬件 木马 (Hardware Trojan) 是 指 插入 原始 电路 的 微小 的 恶意 电路 。 这 种 电路 潜伏 在 
原始 电路 之 中 ,在 电路 运行 到 某 些 特定 的 值 或 条 件 时 ,使 原始 电路 发 生 本 不 该 有 的 情况 。 这 
种 恶意 电路 可 对 原始 电路 进行 有 目的 性 的 修改 ,如 泄露 信息 给 攻击 者 ,使 电路 功能 发 生 改 
变 , 甚 至 直接 损坏 电路 。 硬 件 木 马 能 够 实现 对 专用 集成 电路 (ASIC) 、 微 处 理 器 、 微 控制 器 、 
网 络 处 理 器 ,数字 信号 处 理 器 (DSP) 等 硬件 的 修改 ,也 能 实现 对 FPGA(Field Programmable 
Gate Array, 现 场 可 编程 门 阵列 ) 比 特 流 等 固件 的 修改 。 

在 集成 电路 的 设计 和 制造 过 程 中 ,攻击 者 可 采用 很 多 方式 ,并 且 有 很 多 机 会 在 原始 电路 
中 植 和 人 硬件 木马 。 硬 件 木 马 一 旦 被 人 为 隐蔽 地 插入 一 个 复杂 的 芯片 中 ,要 检测 出 来 是 十 分 
困难 的 。 硬 件 木马 通常 只 在 非常 特殊 的 值 或 条 件 下 才能 被 激活 并 且 发 生 作 用 ,其 他 时 候 对 
原始 电路 的 功能 并 无 影响 , 它 能 躲 过 传统 的 结构 测试 和 功能 测试 。 

2. 硬件 木马 的 分 类 


硬件 木马 技术 是 一 个 相对 较 新 的 研究 领域 。 根 据 硬 件 木 马 的 不 同 特性 ,从 不 同 的 角度 
将 其 分 类 ,其 中 最 为 常见 的 分 类 方式 有 以 下 3 种 。 

第 一 种 分 类 方法 比较 简单 ,可 将 木马 分 为 组 合 型 木马 和 时 序 型 木马 。 组 合 型 木马 是 指 
当 电 路 的 某 个 内 部 信号 或 节点 出 现 特殊 条 件 时 才 激 活 的 组 合 电 路 ; 时 序 型 木马 是 指 当 有 限 
状态 机 (FMS) 检 测 到 某 些 内 部 电路 信号 状态 出 现 特殊 的 序列 时 才 激 活 的 时 序 电路 。 

第 二 种 分 类 方法 是 将 木马 分 为 触发 (也 称 为 木马 触发 ) 和 有 效 载荷 (也 称 为 木马 有 效 载 
荷 ) 两 个 主要 部 分 。 其 中 ,触发 部 分 就 是 激活 木马 的 机 制 ; 有 效 载荷 部 分 就 是 触发 后 木马 发 
挥 功 能 的 电路 。 木 马 一 触发 ,就 会 发 送 一 个 或 多 个 信号 给 木马 有 效 载荷 部 分 ,木马 有 效 载 荷 
部 分 就 会 工作 ,发 生 作用 ,从 而 破坏 芯片 或 改变 其 功能 。 

第 三 种 分 类 方法 是 根据 硬件 木马 的 物理 特性 、 激 活 特性 和 活动 特性 ,将 木马 划分 为 3 个 
主要 类 别 。 其 中 ,物理 特性 是 指 木马 在 电路 布局 中 的 各 种 物理 特征 ,具体 分 为 类 型 尺寸、 分 
布 、 结 构 等 子 类 ; 激活 特性 是 指 攻击 者 可 能 采用 的 激活 木马 使 其 执行 恶意 行为 的 手段 和 策 
略 , 它 可 以 分 为 外 部 激活 和 内 部 激活 两 种 类 型 。 其 中 ,外 部 激活 ,如 通过 天 线 或 传感器 与 外 
界 相互 影响 ; 内 部 激活 又 可 以 分 为 永久 型 激活 和 条 件 型 激活 。“ 永 久 " 是 指 木 马 一 直 都 处 于 
激活 状态 ,可 以 在 任何 时 候 破坏 芯片 。 条 件 型 激活 木马 是 指 只 有 符合 特定 的 条 件 时 才 被 激 
活 的 木马 。 活 动 特性 是 指 木马 植 和 人 电路 之 中 可 能 发 生 的 作用 。 木 马 的 行为 分 为 三 类 : 修改 
功能 、 修 改 规格 ` 发 送信 息 。 修 改 功能 型 是 指 通过 增加 逻辑 ,或 者 删除 或 绕 过 现 有 的 逻辑 来 
改变 芯片 功能 的 木马 。 修 改 规格 型 是 指 以 修改 芯片 的 性 能 参数 作为 攻击 重点 的 木马 ,如 攻 
击 者 修改 设计 中 的 连 线 和 晶体 管 的 几何 布局 而 改变 延迟 。 发 送信 息 型 是 指 发 送 关键 信息 给 
攻击 者 的 木马 。 


4.3.5 木马 的 防范 方法 


与 其 他 恶意 代码 的 清除 方法 一 样 ,木马 的 清除 也 分 为 手工 检查 、 清 除 和 利用 软件 检查 、 
清除 两 种 方法 。 同 时 ,在 清除 之 前 还 要 能 够 准确 地 发 现 并 定位 木马 的 存在 ,在 清除 之 后 或 木 
马 入 侵 之 前 还 要 做 好 相关 的 防御 工作 。 


124 网 络 攻击 与 防御 技术 





1. 主机 木马 的 查看 方法 

目前 有 多 种 方法 可 以 查看 主机 上 是 否 存在 木马 ,下 面 以 Windows 系统 为 例 ,介绍 最 常 
用 的 3 种 查看 木马 的 方法 。 

(1) 查看 开放 端口 。 作 为 一 种 特殊 的 远程 控制 软件 ,木马 同样 具备 远程 控制 软件 的 特 
征 。 为 了 能 够 与 控制 端 进行 联系 ,木马 必须 给 自己 打开 必要 的 端口 。 所 以 ,可 以 通过 查看 主 
机 开放 的 端口 ,来 判断 是 否 有 木马 植 入。 具体 方法 是 在 命令 提示 符 下 输入 “netstat -an” 命 
令 ,在 打开 的 如 图 4-7 所 示 的 窗口 中 查看 协议 的 状态 信息 ,其 中 “ESTABLISHED"” 表 示 已 经 
建立 连接 的 端口 “LISTENING” 表 示 打 开 并 等 待 别人 连接 的 端口 。 在 打开 端口 中 寻找 可 
疑 分 子 , 如 7626( 冰 河 木马 ).54320(Back Orifice 2000) 等 。 








| 面 sea cvwndowserctensxind 冯 生硬 大 汪 页 页 [ET 一 > 一 | 
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4-7 Windows 命令 提示 符 下 输入 “netstat -an” 命 令 后 的 显示 信息 


(2) 查看 注册 表 。 为 了 实现 随 系统 启动 等 功能 ,木马 都 会 对 注册 表 进 行 修改 ,可 以 通过 
查看 注册 表 来 寻找 木马 的 痕迹 。 在 输入 “regedit” 命 令 打开 注册 表 编 辑 器 后 ,定位 到 HKEY 
_CURRENT_USER/Software/Microsoft/ Windows/CurrentVersion/Explorer 下 ,分 别 打 
开 “Shell Folders”User Shell Folders”Run、RunOnce” 和 “RunServices” 子 键 ,检查 里 面 是 
否 有 可 疑 的 内 容 。 青 定位 到 HKEY_LOCAL_MACHINE/Software/ Microsoft/Windows/ 
CurrentVersion/Explorer 下 ,分 别 查 看 上 述 5 个 子 键 中 的 内 容 。 一 旦 在 里 面 找到 来 路 不 明 
的 程序 ,很 有 可 能 是 植 入 的 木马 。 

(3) 查看 系统 配置 文件 。 很 多 木马 文件 都 会 修改 系统 文件 ,而 win. ini 和 system. ini 则 
人 个 文件 ,所 以 需要 对 其 进行 定期 检查 。 在 “运行 "中 输入 

“%systemroot%” 后 将 打开 “Windows” 文 件 夹 , 打 开 其 中 的 in. ini 文件 ,找到 “windows” 字 
段 ,如 果 发 现 有 类 似 “load 二 file. exe:run 一 file. exe” 的 命令 行 (file. exe 为 木马 程序 名 ) ,很 可 
能 是 木马 的 主 程序 。 类 似 地 ,在 system. ini 文件 中 搜索 “boot” 字 段 ,找到 “Shell= ABC. 

xe” we 为 “Shell 王 Explorer. exe”, 如 果 是 其 他 程序 则 也 可 能 是 植 人 了 木马 。 
之 外 ,用 户 还 可 以 通过 查看 系统 进程 和 使 用 专用 木马 检测 软件 的 方法 ,来 判断 系统 
oo 木马 
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2. 传统 木马 的 防御 方法 

对 于 传统 的 木马 ,一般 可 以 通过 以 下 方法 进行 防御 : 一 是 关闭 不 用 的 端口 ,与 外 界 进行 
通信 和 是 木马 区 别 其 他 恶意 代码 的 一 个 特征 ,所 以 为 了 防止 木马 入 侵 , 一 种 有 效 的 方法 是 关闭 
本 机 不 用 的 端口 或 只 允许 指定 的 端口 访问 ; 二 是 使 用 专 杀 木马 的 软件 ,对 系统 进行 经 常 性 
的 “体检 ”; 三 是 要 注意 查看 进程 ,时 时 掌握 系统 运行 状况 ,看 看 是 否 有 一 些 不 明 进程 正 运行 
并 及 时 终止 不 明 的 进程 。 

在 此 基础 上 ,对 于 用 户 来 说 还 应 注意 以 下 操作 。 

(1) 定期 进行 补丁 升级 ,升级 到 最 新 的 安全 补丁 ,可 以 有 效 地 防止 非法 入 侵 。 

(2) 下 载 软件 时 尽量 到 可 信和 的 官方 网 站 或 大 型 软件 下 载 网 站 ,在 安装 或 打开 来 历 不 明 
的 软件 或 文件 前 先 用 杀毒 (包括 清除 木马 ) 软 件 进行 检查 。 

(3) 不 随意 打开 不 明 网 页 链接 ,尤其 是 不 良 网 站 的 链接 。 不 要 打开 陌生 人 通过 QQ 发 
送 的 链接 。 

(4) 使 用 网 络 通信 工具 时 ,不 轻易 接收 来 路 不 明 的 文件 ,如 果 一 定 要 接收 ,可 在 “工具 ” 
菜单 栏 的 “文件 夹 选项 ”中 取消 “隐藏 已 知 文件 类 型 扩展 名 ”选项 ,以 便 能 够 查看 文件 类 型 。 

(5) 对 计算 机 系统 中 的 有 关 账 户 设置 口令 ,并 及 时 删除 或 禁用 过 期 账户 。 

(6) 对 重要 文件 进行 定期 备份 ,以 便 遭 到 木马 破坏 后 能 够 迅速 恢复 。 

3. 网 页 木马 的 防御 方法 

根据 网 页 木马 防御 对 象 所 处 位 置 的 不 同 , 将 其 分 为 网 站 服务 器 端 网 页 挂 马 防 御 、 基 于 代 
理 的 网 页 木马 防御 和 客户 端 网 页 木马 防御 3 种 类 型 。 

(1) 网 站 服务 器 端 网 页 挂 马 防 御 。 为 了 扩大 攻击 脚本 及 攻击 页 面 的 攻击 范围 ,并 提升 
攻击 能 力 , 且 增 强 其 隐蔽 性 ,攻击 者 需要 对 互联 网 上 大 量 页 面 进行 网 页 挂 马 。 因 此 ,网 站 服 
务 器 端的 挂 马 防御 就 成 了 网 页 木马 防御 中 的 第 一 个 环节 。 网 页 挂 马 有 多 种 途径 ,主要 包括 
利用 网 站 服务 器 系统 漏洞 利用 内 容 注入 等 应 用 程序 漏洞 .通过 广告 位 和 流量 统计 等 第 三 方 
内 容 挂 马 等 。 

利用 网 站 服务 器 端 系统 漏 洞 来 算 改 网 页 内 容 是 常见 的 一 种 网 页 挂 马 途径 , 即 攻击 者 发 
现 网 站 服务 器 上 的 系统 漏洞 ,并 且 利 用 该 漏洞 获得 相应 权限 后 ,可 以 轻而易举 地 算 改 页 面 。 
网 站 服务 器 端 可 以 通过 及 时 安装 系统 补丁 程序 及 部 署 一 些 人 侵 检测 系统 来 增强 自身 的 安全 
性 。 除 此 之 外 ,攻击 者 还 常 利用 应 用 程序 中 的 XSS(Cross Site Script , 跨 站 脚本 ) SQL 注入 
等 漏洞 ,将 恶意 内 艇 链接 嵌入 到 页 面 中 。 

网 站 服务 器 端 在 网 页 挂 马 防 御 中 ,除了 应 关注 系统 及 应 用 上 的 安全 漏洞 外 ,也 有 必要 对 
页 面 中 的 第 三 方 内 容 进行 一 定 的 安全 审计 。 

(2) 基于 代理 的 网 页 木马 防御 。 基 于 代理 的 网 页 木马 防御 是 在 页 面 被 客户 端 浏览 器 加 
载 之 前 ,在 一 个 shadow 环境 ( 即 代理 ) 中 对 页 面 进行 一 定 的 检测 或 处 理 。 

客户 端 访问 的 任何 页 面 都 首先 在 该 代理 处 用 基于 行为 特征 的 检测 方法 进行 网 页 木马 检 
测 ,如 果 判 定 访问 的 页 面 被 挂 马 ,就 给 客户 端 返回 一 个 警示 信息 。 目 前 ,基于 代理 的 网 页 森 
马 防御 技术 的 发 展 较 快 ,具体 的 实现 方法 也 多 种 多 样 , 其 中 * 检 测 一 阻 断 ? 式 的 网 页 木马 防御 
方法 便 是 其 中 的 一 种 。 在 “检测 一 阻 断 ? 式 的 网 页 木马 防御 方法 中 , 既 要 在 代理 处 有 效 检测 
出 被 挂 马 页 面 并 阻止 客户 端 浏 览 器 加 载 该 页 面 ,又 不 能 使 客户 端 在 用 户 体验 上 有 明显 差别 。 
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(3) 客户 端 网 页 木马 防御 。 客 户 端 网 页 木马 防御 方法 可 分 为 URL 黑 名 单 过 滤 、 浏 览 器 
安全 加 固 和 操作 系统 安全 扩展 3 种 类 型 。 

中 URL 黑 名 单 过 滤 。Google 将 基于 页 面 静态 特征 进行 机 器 学 习 的 检测 方法 与 基于 行 
为 特征 的 检测 方法 相 结合 ,对 其 索引 库 中 的 页 面 进行 检测 ,生成 一 个 被 挂 马 网 页 的 URL 黑 
名 单 ,Google 搜索 引擎 会 对 包含 在 URL 黑 名 单 中 的 搜索 结果 做 标识 。 基 于 URL 黑 名 单 过 
滤 的 最 大 问题 在 于 时 间 上 的 非 实时 及 范围 上 的 不 全 面 。 被 挂 马 页 面 的 数目 每 月 都 会 有 一 定 
的 增加 ,虽然 Google 周期 性 地 检测 页 面 , 但 一 个 页 面 很 可 能 在 被 Google 判定 为 良性 之 后 被 
挂 马 , 用 户 随后 浏览 该 页 面 时 就 可 能 遭 到 攻击 。 尽 管 Google 怜 取 了 大 量 页 面 并 对 其 进行 检 
测 ,但 仍 无 法 保证 全 面 覆 盖 。 

@ 浏览 器 安全 加 固 。 浏 览 器 安全 加 固 主 要 通过 在 浏览 器 中 增加 一 些 攻击 代码 检测 和 
已 知 漏洞 利用 特征 检测 等 功能 来 实现 浏览 器 的 安全 加 固 。 不 过 ,该 方法 只 能 针对 利用 内 存 
破坏 类 漏洞 的 网 页 木马 ,因此 并 不 是 一 种 一 劳 永 逸 的 方法 。 

G) 操作 系统 安全 扩展 。 由 于 浏览 器 存在 各 种 漏洞 ,是 一 个 不 安全 的 环境 ,而 客户 端的 
操作 系统 是 一 个 相对 安全 的 环境 。 通 过 对 操作 系统 进行 一 定 的 安全 扩展 , 阻 断 网 页 木马 攻 
击 流程 中 未 经 用 户 授权 的 恶意 可 执行 文件 下 载 .安装 和 执行 环节 。 有 具体 思路 是 : 任何 通过 
浏览 器 进程 下 载 的 可 执行 文件 都 会 被 放 和 一 个 虚拟 的 ,权限 受 限 的 隔离 存储 空间 ,只 有 经 过 
用 户 确认 的 下 载 文件 才 会 被 转移 到 真实 的 文件 系统 中 。 


4.3.6 挖 矿 木马 


挖 矿 木马 最 早出 现 于 2013 年 ,近年 来 发 展 非常 迅速 ,相关 事件 在 逐年 增多 。 为 此 ,本 节 
单独 对 挖 矿 木马 进行 介绍 。 
1. 挖 矿 木马 概述 


“ 挖 矿 机 ”程序 运用 计算 机 强大 的 运算 能 力 进行 大 量 运算 ,由 此 获取 数字 货币 。 由 于 硬 
件 性 能 的 限制 ,数字 货币 玩家 需要 大 量 计算 机 进行 运算 以 获得 一 定数 量 的 数字 货币 ,一 些 不 
法 分 子 通 过 各 种 手段 将 挖 矿 机 程序 植 入 受害 者 的 计算 机 中 ,利用 受害 者 计算 机 的 运算 能 力 
进行 挖 矿 , 从 而 获取 利益 。 这 类 在 用 户 不 知情 的 情况 下 植 和 用户 计 算 机 进行 挖 矿 的 挖 矿 机 
程序 就 是 挖 矿 木马 。 由 于 数字 货币 交易 价格 不 断 走高 , 挖 矿 木马 的 攻击 事件 也 越 来 越 频 繁 。 

挖 矿 木马 程序 通过 自动 化 的 批量 攻击 ,感染 存在 漏洞 的 网 络 服务 器 ,并 控制 服务 器 的 系 
统 资源 ,用 于 计算 和 挖掘 特定 的 虚拟 货币 。 由 于 挖 矿 木马 长 期 占用 CPU 率 达 100% ,因此 ， 
服务 器 感染 挖 矿 木马 后 最 明显 的 现象 就 是 服务 器 响应 非常 缓慢 ,出 现 各 种 运行 异常 。 如 果 
挖 矿 木马 攻击 的 对 象 是 整个 云 服 务 平台 ,那么 平台 上 所 有 网 站 和 服务 系统 都 会 受到 严重 
影响 。 

潜伏 在 计算 机 中 的 挖 矿 木 马 主要 存在 两 种 类 型 : 伪 尸 网 络 和 网 页 挖 矿 。 其 中 ,利用 伪 
尸 网 络 进行 挖 矿 存 在 的 攻击 性 非常 大 。 通 过 木马 程序 ,所 有 被 控制 的 计算 机 将 集中 资源 为 
挖 矿 服务 ,而 且 隐 蔽 性 极 强 。 近 来 年 影响 较 大 的 专门 用 于 挖 矿 的 僵尸 网 络 主要 有 Bondnet、 
yamMiner、 隐 匿 者 等 ; 网 页 挖 矿 其 实质 也 是 一 种 网 页 木马 ,只 不 过 植 入 网 页 的 木马 为 专门 
的 挖 矿 程 序 。 目 前 ,攻击 者 通过 各 种 方法 在 一 些 特殊 网 站 (一 般 为 色情 网 站 ) 中 植 信 了 挖 矿 
脚本 , 当 用 户 浏览 网 页 时 便 将 挖 矿 脚 本 下 载 到 本 地 执行 。 由 于 网 页 挖 矿 隐蔽 性 较 差 用 户 可 
以 通过 查看 CPU 等 资源 的 占用 率 来 轻易 发 现 挖 矿 木马 的 存在 ,所 以 将 来 网 页 挖 矿 目 标 会 
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向 网 页 游戏 和 客户 端 游戏 转移 ,通过 游戏 的 资源 高 消耗 率 掩盖 “ 挖 矿 机 ”的 运行 ,同时 移动 平 
台 也 有 可 能 是 挖 矿 木马 的 重要 目标 。 

网 站 之 所 以 会 被 挖 矿 木马 攻击 ,主要 是 由 于 两 方面 的 原因 : 一 是 对 于 存在 内 外 网 的 用 
户 , 虽 然 攻 击 者 无 法 直接 访问 并 攻击 使 用 私有 IP 地 址 的 内 网 计算 机 ,但 由 于 没有 做 好 内 外 
网 之 间 的 隔离 保护 措施 ,将 内 部 网 络 服务 或 管理 端口 暴露 在 了 互联 网 上 ,为 攻击 者 留 下 了 
“靶子 ”; 二 是 网 站 存在 明显 的 安全 漏洞 ,包括 弱 口 令 配置 漏洞 及 其 他 一 些 安全 漏洞 等 。 

需要 说 明 的 是 , 挖 矿 木马 追求 的 是 能 够 控制 资源 的 总 体 规模 ,而 并 不 太 在 意 个 别 服务 器 
的 得 失 。 因 此 , 挖 矿 木 马 的 攻击 者 通常 不 会 对 特定 服务 器 发 起 定向 攻击 ,而 是 利用 系统 漏洞 
进行 批量 攻击 。 

2. 挖 矿 木马 防范 方法 

对 于 挖 矿 木马 ,可 以 采取 以 下 方法 进行 防范 。 

(1) 避免 使 用 弱 口 令 。 弱 口令 应 用 是 目前 互联 网 应 用 中 存在 的 最 大 安全 风险 。 避 免 使 
用 弱 口 令 可 以 有 效 防范 僵尸 程序 发 起 的 弱 口 令 破解 攻击 。 为 了 防范 弱 口 令 攻击 ,系统 管理 
员 需 要 为 服务 器 登录 账户 设置 强 密码 并 定期 进行 更 换 , 而 且 对 于 开放 端口 的 一 些 服务 (如 
MS SQL .MySQL 服务 等 ) 也 应 该 设置 强 密码 。 

(2) 及 时 安装 补丁 程序 。 许 多 挖 矿 木 马 僵尸 网 络 利用 类 似 于 “永恒 之 蓝 ”(WannaCry 
蠕虫 ) 漏 洞 原理 来 传播 。“ 永 恒 之 蓝 ” 勒 索 蠕 虫 的 特征 之 一 就 是 会 自动 扫描 445 端口 ,将 每 一 
人 台 感 染 “ 永 恒 之 蓝 ” 蠕 虫 的 计算 机 变 成 一 个 针对 445 端口 的 扫描 器 。 

对 于 大 部 分 的 漏洞 ,在 具体 公布 之 前 相应 厂商 一 般 都 已 发 布 了 相关 的 补丁 程序 ,所 以 系 
统管 理 员 需 要 及 时 为 操作 系统 和 相关 服务 安装 补丁 程序 ,避免 利用 漏洞 攻击 。 

(3) 定期 维护 计算 机 。 由 于 挖 矿 木 马 会 持续 驻 留 在 计算 机 中 ,如 果 系 统管 理 员 未 定期 
查看 计算 机 的 运行 状态 ,那么 挖 矿 木 马 就 难以 被 发 现 。 因 此 ,计算 机 管理 员 应 定期 维护 计算 
机 ,尤其 要 查看 CPU .内存 等 资源 的 利用 率 是 否 超出 了 正常 的 范围 。 例 如 , 当 用 户 浏览 网 页 
时 发 现 CPU 利用 率 突然 升 高 ,很 可 能 是 感染 了 网 页 挖 矿 木 马 。 

(4) 对 主机 进行 安全 配置 。 

@ 禁止 在 公 网 上 直接 访问 SSH 服务 。 同 时 ,开启 SSH 证 书 登录 ,避免 直接 使 用 密码 
进行 登录 。 

@ 通过 安全 配置 , 仅 允 许 特 定 IP 地 址 的 用 户 使 用 root 账户 进行 远程 登录 。 

@ 定期 对 系统 日 志 进 行 备份 ,避免 攻击 者 恶意 删除 相关 日 志文 件 , 阻 断 溯源 能 力 。 


4.4 后 门 


后 门 也 称 为 陷阱 门 ,是 允许 攻击 者 绕 过 系统 常规 安全 控制 机 制 而 获得 对 程序 或 系统 的 
控制 权 的 程序 ,是 能 够 根据 攻击 者 的 意图 而 提供 服务 的 访问 通道 。 
4.4.1 后 门 的 功能 和 特点 


作为 恶意 代码 家 族 中 的 一 员 ,后 门 既 反映 了 恶意 代码 的 共性 ,也 表现 出 了 独 有 的 特点 。 
1. 后 门 的 功能 
后 门 是 访问 程序 和 在 线 服务 的 一 种 秘密 方式 。 通 过 安装 后 门 ,攻击 者 可 保持 一 条 秘密 
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的 通道 ,每 次 访问 时 不 必 通 过 正常 的 登录 认证 方式 。 后 门 对 系统 安全 的 威胁 是 潜在 的 、 不 确 
定 的 。 后门 具有 以 下 功能 。 

(1) 方便 再 次 入 侵 。 后 门 一 般 是 秘密 存在 的 ,采用 正常 的 方法 一 般 难以 发 现 ,一 旦 植 入 
成 功 可 以 长 久保 持 。 即 使 系统 管理 员 采 取 了 保护 措施 ,截断 了 植 入 路 径 ( 如 改变 口令 、 打 补 
丁 \ 改 变 系统 配置 等 ), 入 侵 者 也 能 利用 已 植 人 的 后 门 方便 地 再 次 进入 系统 。 

(2) 隐藏 操作 痕迹 。 隐 藏 操作 痕迹 的 目的 是 使 再 次 进入 系统 被 发 现 的 可 能 性 降 至 最 
低 。 一 个 精心 设计 的 后 门 会 提供 一 些 隐 藏 手段 来 躲 过 日 志 审 计 系 统 和 安全 保障 系统 。 人 入侵 
者 如 果 能 很 好 地 利用 后 门 和 相关 技术 (如 隐蔽 通道 技术 等 ) ,就 可 以 很 好 地 隐藏 其 活动 。 

(3) 绕 过 监控 系统 。IDS(Intrusion Detection Systems, 人 侵 检测 系统 )、IPS(Intrusion 
Prevention System, 人 侵 防御 系统 ) 防火墙 和 漏洞 扫描 软件 等 都 是 安全 辅助 系统 ,它们 可 以 
有 效 地 提高 系统 的 安全 性 ,阻止 各 类 恶意 代码 的 攻击 。 但 一 些 传统 的 基于 模式 匹配 的 检测 
方法 很 容易 被 后 门 绕 过 ,经 过 精心 设计 的 后 门 一 般 都 采用 一 些 隐蔽 或 伪装 手段 来 绕 过 监控 
系统 的 检查 。 

(4) 提供 恶意 代码 植 和 人 手段。 病毒 .木马 ` 蠕 虫 . 僵 尸 程序 .Rootkit 等 恶意 代码 都 对 系 
统 的 安全 造成 巨大 的 威胁 ,这 些 恶 意 代 码 都 可 以 通过 后 门 来 传播 和 植 和 人 。 例 如 ,一 些 系统 的 
用 户 登 录 认 证 过 程 可 能 存在 后 门 漏洞 ,使 用 这 类 后 门 可 以 方便 地 登录 系统 ,并 且 不 容易 被 发 
现 。 这 类 后 门 的 引入 可 能 是 由 于 程序 设计 漏洞 (如 存在 缓冲 区 溢出 漏洞 或 验证 算法 不 合理 
等 )。 也 可 能 是 程序 开发 人 员 为 了 调试 方便 或 其 他 特殊 目的 人 为 加 入 (如 默认 空 口 令 、 默 认 
固定 口令 ,万 能 口令 等 )。 还 有 就 是 攻击 者 蔡 换 或 修改 了 登录 程序 ,不 影响 原 有 的 登录 过 程 ， 
但 有 捷径 可 以 方便 地 进入 系统 。 

2. 后门 的 特点 

当 某 个 程序 或 系统 存在 后 门 时 ,该 后 门 程序 会 保存 在 计算 机 系统 中 ,只 有 当 攻 击 者 需要 
时 才 通 过 某 种 特殊 方式 来 控制 计算 机 系统 。 下 面 结合 前 文 介绍 的 计算 机 病毒 和 木马 ,来 分 
析 后 门 程序 的 工作 特点 。 

后 门 程序 与 木马 之 间 既 有 联系 也 有 区 别 ,联系 在 于 后 门 程序 和 木马 都 是 隐藏 在 用 户 系 
统 中 向 外 发 送信 息 ,而 且 本 身 具 有 一 定 操作 权限 ,同时 能 够 供 攻击 者 远程 控制 本 机 时 使 用 ; 
区 别 在 于 木马 是 一 个 完整 的 软件 ,而 后 门 程序 的 代码 有 限 且 功 能 单一 。 后 门 程 序 类 似 于 木 
马 , 其 特点 是 平时 潜伏 在 计算 机 中 从 事 信息 搜集 工作 , 当 攻 击 者 需要 实施 攻击 时 便 提供 进入 
本 机 的 通道 。 

后 门 程序 和 计算 机 病毒 之 间 最 大 的 区 别 在 于 后 门 程序 不 一 定 有 自我 复制 的 功能 , 即 后 
门 程 序 不 一 定 会 主动 去 感染 其 他 的 计算 机 程序 。 后 门 其 实质 是 一 种 供 远程 控制 的 通道 , 它 
可 以 绕 过 系统 常规 的 安全 设置 。 

后 门 的 存在 形式 和 功能 多 种 多 样 ,简单 的 后 门 可 以 建立 一 个 新 账户 ,或 者 给 已 有 的 账户 
进行 提 权 。 复 杂 的 后 门 会 在 绕 过 系统 的 安全 认证 机 制 后 直接 控制 系统 ,甚至 会 修改 系统 的 
配置 以 降低 系统 的 安全 防御 能 力 。 同 时 ,有 些 后门 还 可 以 与 特定 的 木马 进行 配合 ,获得 对 系 
统 的 最 大 控制 权 或 破坏 力 。 


4.4.2 后 门 的 分 类 
根据 实现 方式 的 不 同 ,可 以 将 后 门 分 为 网 页 后 门 、 线 程 插入 后 门 .扩展 后 门 .C/S 后 门 和 
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账户 后 门 等 类 型 。 

1. 网 页 后 门 

网 页 后 门 主 要 通过 服务 器 上 正常 的 Web 服务 来 构造 自己 的 连接 方式 。 脚 本 语言 是 为 
了 缩短 传统 的 “编写 一 编译 一 链接 一 运行 ”(edit-compile-link-run) 过 程 而 创建 的 计算 机 编程 
语言 , 即 脚本 语言 是 一 种 解释 性 的 语言 ,常见 的 脚本 语言 有 Python、VBScript、JavaScript、 
InstallshieldScript、ActionScript 等 。 不 像 CC++ 等 编程 语言 需要 编译 成 二 进 制 代 码 才 可 
以 执行 ,脚本 语言 不 需要 编译 ,可 以 直接 调用 ,具体 由 解释 器 来 负责 解释 。 

早期 的 脚本 语言 经 常 被 称 为 批 处 理 语言 或 工作 控制 语言 ,目前 的 脚本 语言 已 经 成 熟 到 
可 以 编写 一 些 复杂 的 程序 。 由 于 脚本 语言 具有 简单 .易学 、 易 用 及 使 用 广泛 等 特点 ,不 但 成 
为 大 多 数 编程 人 员 首 选 的 工具 ,也 成 为 提供 后 门 的 有 效 方法 。 另 外 ,由 于 脚本 语言 不 像 编 程 
语言 那样 需要 严格 的 语法 和 复杂 的 规则 ,相对 松散 的 代码 为 后 门 程序 的 隐藏 创造 了 一 定 的 
条 件 。 例 如 ，HTML(Hyper Text Mark-up Language, 超 文本 标记 语言 ) 就 是 一 种 脚本 语 
言 ,浏览 器 就 是 它 的 解释 器 。 此 外 , 随 着 动态 网 页 技术 的 发 展 ,ASP、JSP、PHP 等 伐 入 网 页 
的 脚本 语言 也 被 广泛 使 用 ,不 过 这 些 脚 本 要 通过 Web Server 解释 。 凡 是 熟悉 网 页 编程 的 读 
者 都 知道 ,利用 这 些 脚 本 语言 来 预 留 后 门 是 比较 容易 实现 的 。 

2. 线程 插入 后 门 

线程 插入 后 门 是 指 后 门 程序 在 运行 时 没有 进程 ,所 有 操作 均 插入 到 其 他 应 用 程序 的 进 
程 中 完成 。 线 程 插入 后 门 的 特点 是 : 在 进程 管理 器 中 没有 显示 对 应 的 进程 ,平时 也 没有 打 
开 的 端口 ,潜伏 在 系统 中 很 难 被 安全 检测 程序 发 现 。 同 时 ,根据 应 用 环境 的 不 同 , 线 程 插入 
后 门 一 般 还 提供 了 正 向 连接 和 反 向 连接 功能 ,尤其 是 利用 反 向 连接 功能 ,后 门 程序 可 以 主动 
向 外 发 送 连接 请 求 ,以 防止 防火 墙 对 数据 包 的 拦截 。 因 为 防火 墙 的 设置 一 般 是 “ 防 外 不 防 
内 ”, 即 防火 墙 会 拦截 从 外 向 内 发 送 的 违规 数据 包 ,而 放行 从 内 向 外 发 送 的 数据 包 。 

线程 插入 后 门 的 另 一 个 功能 是 端口 复 用 。 端 口 复 用 就 是 借助 系统 已 经 打开 的 端口 (如 
TCP 80 端口 .TCP 23 端口 等 ) 进 行 通信 ,以 实现 后 门 程序 在 通信 过 程 中 的 隐蔽 性 。 基 于 
UDP 或 TCP 的 网 络 应 用 程序 进行 通信 时 ,首先 必须 将 本 地 IP 地 址 和 一 个 端口 绑 定 在 一 个 
套 接 字 (Socket) 上 ,然后 利用 该 套 接 字 进 行 通信 。 不 同 的 网 络 应 用 程序 使 用 不 同 的 端口 进 
行 通信 。 当 系统 收 到 一 个 数据 包 时 ,会 根据 数据 包 指示 的 端口 号 找到 对 应 的 应 用 程序 并 转 
交 该 数据 包 。 如 果 对 某 个 端口 采用 了 复 用 技术 ,那么 系统 收 到 数据 包 时 ,就 不 能 够 直接 将 它 
转交 给 相应 的 网 络 应 用 程序 ,而 是 应 该 对 系统 行为 做 出 适当 的 修改 。 端 口 复 用 的 实现 过 程 
如 图 4-8 所 示 ,确定 被 复 用 的 端口 (如 TCP 80) 后 ,在 本 地 建立 一 监听 , 当 有 连接 到 来 时 , 根 
据 数据 包 的 头 部 信息 判断 是 给 源 端 口 的 数据 包 , 还 是 给 复 用 者 的 数据 包 。 如 果 是 给 源 端口 
的 数据 包 便 交 给 源 程序 处 理 ; 否则 由 复 用 者 进行 处 理 。 端 口 复 用 在 理论 上 也 是 可 行 的 , 通 
过 端口 复 用 方式 ,不 会 对 其 他 占用 此 端口 的 程序 或 者 进程 造成 影响 。 从 Socket 的 构成 来 
看 ,不 同 的 IP 地 址 可 以 绑 定 同一 个 端口 (如 210. 20. 10. 20:80、192. 168. 1. 1:80、127. 0. 0. 1:80 
等 ), 且 各 自 的 通信 之 间 互 不 影响 。 

3. 扩展 后 门 


扩展 后 门 可 以 看 成 是 多 个 后 门 程序 的 工具 集 , 即 将 多 个 后 门 功能 集成 到 一 起 ,方便 攻击 
者 的 控制 。 扩 展 后 门 一 般 同 时 集成 了 文件 上 传 与 下 载 . 系 统 用 户 检测 HTTP 访问 、 打 开端 
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图 4-8 端口 复 用 的 实现 过 程 


口 启动/ 停止 服务 等 功能 。 例 如 ,WinEggDropShell. Eternity 便 是 一 个 经 典 的 扩展 后 门 程 
序 , 它 能 实现 进程 管理 (查看 或 结束 进程 ) ,注册 表 管 理 、 服 务 管理 (停止 、 启 动 等 )、 端 口 到 程 
序 关联 ,系统 重启 与 注销 、 嗅 探 密码 、 重 定向 .HTTP 服务 等 功能 。 

4，CVS 后 门 

C/S(Client/Server) 结 构 是 木马 主要 使 用 的 工作 模式 ,同时 也 是 后 门 程序 的 一 种 操作 方 
式 , 尤 其 是 具有 控制 功能 的 后 门 多 采用 该 结构 。ICMP Door 便 是 一 种 典型 的 C/S 后门 , 它 
利用 ICMP 协议 ,通信 过 程 中 不 需要 打开 任何 端口 ,只 是 利用 系统 本 身 的 ICMP 包 进 行 控 
制 。ICMP Door 的 另 一 个 应 用 是 实现 从 外 网 向 内 网 的 渗透 ,实现 对 网 络 内 部 主机 的 控制 。 
由 于 ICMP Door 使 用 了 ICMP 协议 ,如 果 主 机 启用 了 防火 墙 , 则 该 后 门 程序 将 无 法 正常 
天 作 ， 

5. 账户 后 门 

账户 后 门 是 指 攻击 者 为 了 长 期 控制 目标 主机 ,通过 后 门 在 目标 主机 中 建立 一 个 备用 管 
理 员 账户 的 技术 。 一 般 采 用 克隆 账户 方式 来 实现 。 克 隆 账 户 一般 有 两 种 方式 : 一 种 是 手动 
克隆 账户 ; 另 一 种 是 使 用 克隆 工具 。 


4.4.3 ”Windows 系统 后 门 程序 的 自动 加 载 方法 


利用 操作 系统 的 自 启 动 功能 来 加 载 后 门 程序 是 攻击 者 最 常 使 用 的 方法 。 在 Windows 
系统 中 ,后 门 工具 可 以 利用 自 启 动 文件 夹 ,注册 表 自 启动 项 和 Windows 服务 等 方式 来 达到 
自 启动 目的 。 

1. 自 启动 文件 夹 

能 够 实现 程序 自 启动 的 文件 夹 有 两 种 类 型 : 当前 用 户 专 用 启动 文件 夹 和 所 有 用 户 共用 
启动 文件 夹 。 当 前 用 户 专 用 启动 文件 夹 位 于 “\ Users\[ 用 户 名 ]\AppData\Roaming\ 
Microsoft\Winodws\Start Menu\Programs\Startup” 下 ,其 中 “用 户 名 ”是 当前 登录 的 用 户 
账户 名 ; 所 有 用 户 共用 启动 文件 夹 位 于 “Documents and Settings\All Users\ 开 始 菜单 \ 程 
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序 \ 启 动 ” 下 ,使 用 该 方法 ,不 管用 户 以 什么 账户 登录 ,位 于 该 文件 夹 下 的 程序 (快捷 方式 ) 都 
可 以 自 启动 。 

除 此 之 外 ,在 Windows 系统 中 ,win. ini 和 system. ini 两 个 文件 中 的 配置 路 径 也 是 实现 
自 启动 的 文件 夹 位 置 。 

2. 注册 表 自 启动 项 

注册 表 自 启动 项 也 称 为 ASEP(Auto-Start Extension Points), Windows 系统 注册 表 的 
ASEP 非常 多 ,有 些 位 置 非 常 隐蔽 ,主要 有 Load 键 、Userinit 键 、Explorer\ Run 子 键 、 
RunServicesOnce 键 ` RunServices 子 键 .RunOnce\Setup 子 键 、.RunOnce 子 键 ,Run 子 键 及 
WindowsShell ( HKEY _ LOCAL _ MACHINE \ Software \ Microsoft \ WindowsNT \ 
CurrentVersion\Winlogon\) 等 。 由 于 注册 表 的 结构 较为 复杂 ,可 以 通过 Windows 系统 自 
带 的 msconfig、autoruns 等 工具 或 第 三 方 的 自 启动 配置 管理 工具 来 检查 系统 注册 表 中 隐藏 
的 自 启动 项 。 

3. Windows 服务 

Windows 系统 的 服务 加 载 既 可 以 利用 注册 表 的 “HKEY_LOCAL_MACHINE_System 
\CurrentControlSet\Services” 项 来 完成 ,也 可 以 利用 组 策略 来 加 载 , 具 体 为 : 运行 gpedit. 
msc, 找 到 “用 户 配 置 一 管理 模板 一 系统 一 登录 ”, 在 打开 的 组 策略 管理 窗口 中 找到 “在 用 户 
登录 时 运行 这 些 程序 ”, 可 以 在 其 中 添加 要 随 系统 一 起 启动 的 程序 。 


4.4.4 后 门 的 防范 方法 


由 于 后 门 隐藏 包括 应 用 级 隐藏 和 内 核 级 隐藏 ,所 以 其 检测 和 防御 方法 也 分 为 应 用 级 和 
内 核 级 两 种 类 型 。 

1. 后 门 的 应 用 级 检测 和 防御 

后 门 的 应 用 级 隐藏 是 常规 的 隐藏 方法 ,通过 修改 、 拥 绑 或 替代 系统 合法 的 应 用 程序 来 实 
现 后 门 隐 藏 。 早 期 的 后 门 一 般 是 在 应 用 级 上 实现 隐藏 。 

对 于 后 门 来 说 ,无 论 采 用 什么 方式 植 和 后门, 且 采 用 什么 样 的 伪装 隐藏 手段 ,总 可 以 通 
过 一 些 方法 来 进行 检测 和 防御 ,如 通信 端口 检查 、 通 信 特征 匹配 、 植 入 痕迹 查找 和 完整 性 检 
查 等 。 对 于 应 用 级 隐藏 ,最 有 效 的 检测 方法 是 完整 性 检测 ,如 MD5 校 验 和 法 就 能 得 到 很 好 
的 效果 。 

Tripwire 是 目前 最 为 著名 的 UNIX 下 文件 系统 完整 性 检测 的 软件 工具 。 首 先 使 用 特 
定 的 特征 码 函 数 为 需要 监视 的 系统 文件 和 目录 建立 一 个 完整 性 特征 数据 库 ,这 里 所 讲 的 特 
征 码 函 数 就 是 使 用 任意 的 文件 作为 输入 ,产生 一 个 固定 大 小 的 数据 (特征 码 ) 的 函数 。 入 侵 
者 如 果 对 文件 进行 了 修改 ,即使 文件 大 小 不 变 ,也 会 破坏 文件 的 完整 性 特征 码 。 利 用 这 个 数 
据 库 ,Tripwire 可 以 很 容易 地 发 现 系 统 的 变化 。 

2. 后 门 的 内 核 级 检测 和 防御 

后 门 的 内 核 级 隐藏 可 以 分 为 3 种 类 型 : 在 支持 LKM 的 操作 系统 上 利用 LKM 机 制 实 
现 隐 藏 ,通过 系统 库 来 实现 隐藏 和 利用 内 存 映射 来 实现 隐藏 ( 它 可 以 在 不 支持 LKM 技术 的 
情况 下 实现 内 核 级 隐藏 ) 。 内 核 级 隐藏 是 比较 难于 检测 的 ,能 绕 过 目前 绝 大 多 数 后 门 扫描 工 
具 、 查 杀 病 毒 软件 和 入 侵 检测 系统 的 检测 。 
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内 核 级 后 门 是 在 内 核 级 隐藏 目录 、 文 件 .进程 和 通信 连接 等 信息 , 它 不 修改 程序 二 进 制 
文件 ,因此 MD5 校 验 和 法 也 就 失去 了 功效 。 按 照 内 核 级 后 门 的 隐藏 特点 ,已 经 出 现 了 一 些 
不 同类 型 的 检测 方法 ,如 内 核 级 隐藏 的 一 种 方法 是 通过 修改 系统 调用 表 来 实现 系统 调用 重 
定向 从 而 隐藏 文件 .进程 和 通信 连接 ,所 以 通过 检查 系统 调用 的 内 存 地址 就 可 能 发 现 是 否 被 
植 人 了 后 门 。 另 外 ,内 核 级 后 门 一 般 都 要 进行 内 核 模块 的 加 载 ,因此 通过 监控 内 核 的 变化 可 
以 很 好 地 防御 内 核 级 后 门 。 


4.5 僵尸 网 络 


僵尸 网 络 已 经 成 为 目前 因特网 上 最 为 严重 的 安全 威胁 之 一 ,甚至 已 经 发 展 成 为 网 络 战 
的 武器 。 同 时 ,僵尸 网 络 本 身 具 有 的 特性 也 使 其 成 为 攻击 者 用 于 实施 DDoS 攻击 ,发 送 垃圾 
邮件 、 窃 取 敏 感 信息 等 各 种 攻击 行为 的 高 效 平台 。 


4.5.1 僵尸 网 络 的 概念 


伪 尸 网 络 (botnet) 是 攻击 者 出 于 恶意 目的 ,传播 伪 尸 程序 控制 大 量 主机 ,并 通过 一 对 多 
的 命令 与 控制 信道 所 组 成 的 网 络 。 伪 尸 网 络 是 从 计算 机 病毒 蠕虫 、 木 马 、 后 门 等 传统 的 恶 
意 代码 形态 的 基础 上 演化 ,并 通过 相互 融合 发 展 而 成 的 目前 最 为 复杂 的 一 类 网 络 攻 击 方式 。 

由 于 为 攻击 者 提供 了 隐匿 灵活、 高 效 的 一 对 多 控制 机 制 , 伪 尸 网 络 这 一 攻击 方式 得 到 
了 攻击 者 的 青睐 ,并 进一步 完善 ,成 为 互联 网 上 最 为 严重 的 威胁 之 一 。 利 用 僵尸 网 络 ,攻击 
者 可 以 轻易 地 控制 成 千 上 万 台 主 机 对 网 络 上 的 任意 站 点 发 起 DDoS 攻击 ,并 发 送 大 量 垃圾 
邮件 (spam) ,从 受 控 主机 上 窃取 敏感 信息 或 进行 点 击 欺诈 (click fraud) 及 比特 币 网 络 攻 击 
等 以 件 取 经 济 利益 。 

为 了 较为 详细 地 了 解 僵尸 网 络 的 组 成 和 工作 机 制 , 首 先 对 涉及 的 一 些 基本 概念 进行 必 
要 的 介绍 。 

(1) 僵尸 程序 (bot) : 连接 攻击 者 所 控制 IRC 信道 的 客户 端 程序 。 攻 击 者 所 控制 的 位 
于 受 控 主 机 (肉鸡 ) 上 的 程序 ,攻击 者 与 被 控 程 序 之 间 及 被 控 程 序 之 间 采 用 IRC 信道 通信 。 

(2) 僵尸 网 络 (botnet) : 受 控 的 运行 僵尸 程序 的 主机 (肉鸡 ) 之 间 采 用 IRC 协议 组 成 的 
网 络 。 

(3) 攻击 者 (botmaster) : 攻击 者 也 称 为 控制 者 , 它 对 受 控 主机 具有 完全 掌控 权 , 可 以 通 
过 远程 方式 实现 对 僵尸 程序 的 控制 。 

(4) 命令 与 控制 (Command and Control,C&C) : 一 方面 可 以 接收 受 控 主机 (肉鸡 ) 上 面 
活跃 的 僵尸 程序 传 来 的 信息 ,了 解 受 控 主 机 当前 的 运行 状态 ; 另 一 方面 根据 攻击 需要 向 受 
控 主 机 发 送 控制 指令 ,要求 受 控 主 机 中 的 僵尸 程序 执行 预定 义 的 攻击 行为 ,实现 攻击 者 预定 
的 攻击 目的 。 

(5) IRC(Internet Relay Chat, 互 联网 中 继 聊天 ) : 参与 聊天 的 用 户 使 用 特定 的 用 户 端 
聊天 软件 连接 到 指定 的 聊天 服务 器 ,再 通过 服务 器 中 继 与 其 他 连接 到 同一 服务 器 上 的 用 户 
进行 交流 。IRC 的 特点 是 在 线 \ 快 速 、 占 用 带宽 小 。 频 道 (channel) 是 IRC 中 使 用 的 用 户 管 
理 方式 ,频道 的 本 质 是 广播 组 ,一 个 频道 即 一 个 聊天 室 , 同 一 频道 内 输入 的 信息 位 于 该 频道 
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内 的 所 有 成 员 都 可 以 看 到 。 
综 上 所 述 , 可 以 将 僵尸 网 络 定义 为 : 攻击 者 (bomaster) 出 于 恶意 目的 ,通过 传播 僵尸 程 
序 (bot) 来 控制 大 量 主 机 (肉鸡 ) ,并 通过 一 对 多 的 命令 与 控制 (C&C) 信 道 所 组 成 的 网 络 。 
一 对 多 的 命令 与 控制 信道 是 僵尸 网 络 区 别 于 其 他 攻击 方式 的 最 基本 的 特征 。 图 4-9 是 
一 个 僵尸 网 络 的 结构 。 其 中 ,被 安装 在 受 控 主 机 上 的 僵尸 程序 能 够 把 自己 复制 到 一 个 安装 
目录 ,并 通过 改变 系统 配置 实现 开机 运行 功能 。 攻 击 者 应 用 事先 设 定 的 登录 方式 登录 到 
C&C 服务 器 (如 IRC 服务 器 ) 中 的 指定 频道 ,向 所 有 连接 到 该 频道 的 僵尸 程序 发 布 命令 。 


攻击 者 私 | < 





有 IRC 频 道 















站 


Botmaster 


C&C 服务 器 | 
” 受 按 主机 ” 
图 4-9 僵尸 网 络 的 结构 


需要 特别 说 明 的 是 ,在 上 述 介 绍 中 ,僵尸 网 络 的 命令 与 控制 机 制 是 基于 IRC 协议 实现 
的 ,这 是 因为 僵尸 程序 的 起 源 可 追溯 到 1993 年 出 现 的 “Eggdrop Bot”。Eggdrop 的 功能 类 
似 于 智能 机 器 人 (robot ,简写 为 bot) ,用 于 帮助 IRC 网 络 管理 员 更 加 高 效 地 管理 网 络 , 没 有 
以 攻击 网 络 为 目的 。 但 从 1998 年 出 现 的 GTBot 开始 , 它 利用 IRC 协议 构建 命令 与 控制 频 
道 , 其 程序 中 内 嵌 了 一 个 流行 的 IRC 客户 端 mIRC. exe 可 用 于 僵尸 程序 。 自 此 ,基于 IRC 
协议 的 僵尸 网 络 开 始 流行 ,如 Sdbot、PrettyPark、Spybot、Rbot、Agobot 等 。 但 是 在 基于 
IRC 协议 的 僵尸 网 络 的 发 展 过 程 中 ,大 量 局 域 网 开始 在 位 于 边界 的 防火 墙 上 通过 过 滤 与 
IRC 协议 相关 的 端口 以 防御 僵尸 网 络 的 攻击 ,致使 僵尸 网 络 逐 渐 使 用 HTTP、P2P、Domain 
Flux、Random P2P、Fast-flux、Hybrid P2P 等 协议 作为 命令 与 控制 协议 ,以 应 对 被 检测 和 封 
堵 的 风险 。 鉴 于 对 僵尸 网 络 基 本 工作 机 制 的 理解 ,本 节 主 要 以 IRC 协议 为 主 进行 介绍 。 如 
果 读 者 需要 更 加 全 面 地 学 习 有 关 僵 尸 网 络 的 知识 ,可 在 学 习 本 节 内 容 后 再 参阅 相关 的 文献 。 


4.5.2 僵尸 网 络 的 功能 结构 


最 早出 现 的 IRC 僵尸 网 络 由 僵尸 网 络 控制 器 (Botnet Controller) 和 僵尸 程序 (Bot) 两 
部 分 组 成 。 由 于 IRC 僵尸 网 络 基于 标准 IRC 协议 构建 其 命令 与 控制 信道 ,所 以 其 控制 器 可 
构建 在 公用 IRC 聊天 服务 器 上 ,但 攻击 者 为 保证 对 僵尸 网 络 控制 器 的 绝对 控制 权 ,一 般 会 
利用 其 完全 控制 的 主机 架设 专门 的 僵尸 网 络 命令 与 控制 服务 器 。 

在 僵尸 网 络 中 ,根据 攻击 过 程 中 所 发 挥 功 能 的 不 同 , 可 以 将 僵尸 程序 的 功能 模块 分 为 主 
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体 功能 模块 和 辅助 功能 模块 两 部 分 ,其 组 成 如 图 4-10 所 示 。 
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图 4-10 僵尸 网 络 的 功能 结构 


1. 僵尸 程序 的 主体 功能 

主体 功能 是 僵尸 程序 的 主要 组 成 部 分 ,僵尸 网 络 的 主体 功能 分 为 命令 与 控制 和 传播 两 
个 模块 。 

(1) 命令 与 控制 。 命 令 与 控制 (C&C) 模 块 是 整个 僵尸 程序 的 核心 ,用 于 实现 与 僵尸 网 
络 控制 器 的 交互 ,接收 攻击 者 的 控制 命令 ,进行 解析 和 执行 ,并 将 执行 结果 反馈 给 僵尸 网 络 
控制 器 。 

(2) 传播 。 传 播 模 块 通过 各 种 不 同 的 方式 将 僵尸 程序 传播 到 新 的 主机 ,使 其 加 入 伪 尸 
网 络 接受 攻击 者 的 控制 ,从 而 扩展 僵尸 网 络 的 规模 。 伪 尸 程 序 可 以 按照 传播 策略 分 为 自动 
传播 型 僵尸 程序 和 受 控 传播 型 僵尸 程序 两 大 类 ,而 僵尸 程序 的 传播 方式 包括 通过 远程 攻击 
软件 漏洞 传播 .扫描 NetBIOS 弱 密 码 传播 .扫描 恶意 代码 留 下 的 后 门 进行 传播 .通过 发 送 邮 
件 病毒 传播 、 通 过 文件 系统 共享 传播 等 。 此 外 ,最 新 的 僵尸 程序 也 已 经 开始 结合 即时 通信 软 
件 和 P2P 文件 共享 软件 进行 传播 了 。 

2. 僵尸 程序 的 辅助 功能 

僵尸 程序 的 辅助 功能 是 对 主体 功能 的 补充 ,主要 包括 信息 窃取 主机 控制 .下 载 与 更 新 、 
绕 过 检测 与 对 抗 分 析 等 功能 模块 。 

(1) 信息 窃取 。 信 息 窃取 模块 用 于 获取 受 控 主 机 信息 ,主要 包括 系统 资源 情况 、 进 程 列 
表 、 开 启 时 间 、 网 络 带宽 和 速度 等 。 同 时 ,搜索 并 窃取 受 控 主 机 上 有 价值 的 敏感 信息 ,如 软件 
注册 码 .电子 邮件 列表 .账号 口令 等 。 

(2) 主机 控制 。 伪 尸 网 络 中 的 主机 控制 模块 是 攻击 者 利用 受 控 的 大 量 僵尸 主机 (肉鸡 ) 
完成 各 种 不 同 攻击 目标 的 模块 集合 。 目 前 ,主流 僵尸 程序 中 实现 的 僵尸 主机 控制 模块 包括 
DDoS 攻击 模块 、 架 设 服务 模块 ,发送 垃圾 邮件 模块 及 单 击 欺诈 模块 等 。 

(3) 下 载 与 更 新 。 下 载 与 更 新 模块 为 攻击 者 提供 向 受 控 主机 注入 二 次 感染 代码 及 更 新 
僵尸 程序 的 功能 ,使 其 能 够 随时 在 僵尸 网 络 控制 的 大 量 主机 上 更 新 和 添加 僵尸 程序 及 其 他 
恶意 代码 ,以 实现 不 同 攻击 目的 。 
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(4) 绕 过 检测 与 对 抗 分 析 。 绕 过 检测 与 对 抗 分 析 模 块 包括 对 僵尸 程序 的 多 态 .变形 .加 
密 、 通 过 Rootkit 方式 进行 实体 隐藏 ,以 及 检查 调试 程序 (debugger) 的 存在 、 识 别 虚 拟 机 环 
境 、 杀 死 反 病 毒 进 程 . 阻 止 反 病毒 软件 升级 等 功能 。 其 目标 是 使 得 僵尸 程序 能 够 绕 过 受 控 主 
机 的 使 用 者 和 反 病 毒 软 件 的 检测 ,并 对 抗 反 病毒 软件 的 检测 ,从 而 提高 僵尸 网 络 的 生存 
能 力 。 

HTTP 僵尸 网 络 与 IRC 僵尸 网 络 的 功能 结构 相似 ,所 不 同 的 仅仅 是 HTTP 僵尸 网 络 
控制 器 是 以 Web 网 站 方式 构建 。 而 相应 地 ,僵尸 程序 中 的 命令 与 控制 模块 通过 HTTP 协 
议 向 控制 器 注册 并 获取 控制 命令 。 由 于 P2P 网 络 本 身 具 有 的 对 等 节点 特性 ,在 P2P 僵尸 网 
络 中 也 不 存在 只 充当 服务 器 角色 的 僵尸 网 络 控制 器 ,而 是 由 P2P 僵尸 程序 同时 承担 客户 端 
和 服务 器 的 双重 角色 。P2P 僵尸 程序 与 传统 僵尸 程序 的 差异 在 于 命令 与 控制 模块 的 实现 机 
制 不 同 。 


4.5.3 僵尸 网 络 的 工作 机 制 及 特点 


攻击 者 在 选择 受 控 主机 时 ,一 般 会 利用 漏洞 扫描 技术 来 发 现 互联 网 中 存在 安全 漏洞 的 
主机 ,并 获得 管理 员 的 权限 。 当 成 功 攻陷 主机 后 ,攻击 者 把 编写 好 的 僵尸 程序 利用 FTP、 
HTTP、TFTP 或 DCC SEND(IRC 用 来 给 其 他 用 户 发 送 文件 的 命令 ) 上 传 到 主机 ,并 通过 配 
置 系统 进行 自动 安装 。 当 僵尸 程序 成 功 安装 后 , 它 就 会 连接 预先 设 定 的 频道 ,等 待 攻击 者 发 
送 命令 。 在 许多 情况 下 ,攻击 者 为 了 防止 某 一 个 频道 被 发 现 后 使 已 建立 的 僵尸 网 络 被 破坏 ， 
通常 会 利用 动态 域名 映射 方式 ,把 IRC 服务 器 映射 到 动态 IP, 让 僵尸 程序 加 入 动态 的 频道 
或 多 个 频道 。 攻 击 者 登录 到 频道 ,发 布 命令 实施 各 种 攻击 活动 。 

1. 僵尸 网 络 的 工作 机 制 

基于 IRC 协议 的 僵尸 网 络 的 工作 机 制 如 图 4-11 所 示 ,具体 过 程 如 下 。 
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图 4-11 IRC 协议 的 僵尸 网 络 的 工作 机 制 
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g@ 攻击 者 通过 各 种 传播 方式 (一 般 采 用 蠕虫 ) 将 僵尸 程序 上 传 到 存在 安全 漏洞 的 主机 
上 ,将 其 变 成 网 络 中 一 台 受 控 主 机 (肉鸡 ) 。 

@ 僵尸 程序 以 特定 格式 随机 产生 的 用 户 名 和 昵称 尝试 加 入 指定 的 IRC 命令 与 控制 服 
务 器 (C&C Server) 。 

@ 攻击 者 一 般 会 使 用 动态 域名 服务 ,将 僵尸 程序 连接 的 域名 映射 到 其 所 控制 的 多 台 
IRC 服务 器 上 ,从 而 避免 由 于 单一 服务 器 被 破坏 后 导致 整个 僵尸 网 络 瘫痪 现象 的 发 生 。 

@ 僵尸 程序 加 入 到 攻击 者 私有 的 IRC 命令 与 控制 信道 (频道 ) 中 。 

@ 加 入 信道 的 大 量 僵尸 程序 监听 控制 指令 。 

@ 攻击 者 登录 并 加 入 到 IRC 命令 与 控制 信道 中 ,通过 认证 后 ,向 僵尸 网 络 发 出 攻击 指 
令 , 包 括 DDoS、 信 息 窃 取 、 垃 圾 邮件 ,点 击 欺 诈 等 。 

@ 僵尸 程序 接收 指令 ,并 调用 对 应 模块 执行 指令 ,从 而 对 目标 主机 发 起 攻击 。 

2. 僵尸 网 络 的 工作 特点 

僵尸 网 络 之 所 以 形成 如 此 严重 的 威胁 ,从 技术 角度 来 看 ,主要 是 由 以 下 几 个 特点 决 
定 的 。 

(1) 僵尸 网 络 融合 了 传统 恶意 代码 的 优势 。 僵 尸 网 络 是 从 传统 蠕虫 木马、 后 门 等 恶意 
代码 发 展 而 来 的 一 种 新 的 攻击 形式 。 蠕 虫 具有 利用 既 有 的 安全 漏洞 而 快速 传染 扩散 的 优 
势 ,但 存在 感染 大 量 计 算 机 后 不 被 控制 者 所 控制 的 缺点 , 即 攻击 者 无 法 利用 已 感染 的 计算 机 
资源 实施 网 络 攻击 ,甚至 因 其 不 可 控 而 无 法 获知 蠕虫 扩散 速度 ,感染 规模 和 地 理 分 布 等 基本 
信息 。 木 马 具 有 对 受害 者 远程 控制 的 能 力 ,但 存在 感染 速度 慢 .管理 规模 小 和 控制 方式 简单 
的 缺点 。 僵 尸 网 络 融合 了 传统 恶意 代码 的 优势 .弥补 了 传统 恶意 代码 存在 的 不 足 。 

(2) 僵尸 网 络 实现 了 控制 功能 与 攻击 任务 的 分 离 。 位 于 受 控 主机 上 的 僵尸 程序 负责 控 
制 功能 ,真正 的 攻击 任务 由 控制 者 根据 需要 动态 发 起 。 这 种 方法 的 核心 要 点 是 将 完整 的 威 
胁 实 体 分 割 为 多 个 部 分 ,从 而 既 可 以 为 任务 分 发 提供 良好 的 灵活 性 ,又 可 以 提高 僵尸 网 络 的 
可 生存 性 。 

(3) C&C 服务 器 的 搭建 较为 容易 。 寻 找 或 搭建 命令 与 控制 (C&C) 服 务 器 是 僵尸 网 络 
的 关键 。 目 前 ,利用 各 种 新 技术 的 漏洞 来 搭建 僵尸 网 络 C&C 服务 器 相对 较为 容易 实现 。 
例如 ,公共 IRC 聊天 室 常 被 用 于 僵尸 网 络 C&C 服务 器 ,无须 认证 的 Web 2. 0 服务 可 被 用 
作 僵尸 网 络 的 C&C 服务 器 ,一 些 服务 提 供 商 提供 的 云 服务 也 可 以 被 搭建 成 僵尸 网 络 C&C 
服务 器 等 。 还 有 ,一 些 缺乏 信息 安全 立法 的 国家 所 提供 的 服务 器 托管 服务 也 经 常 被 用 作伪 
尸 网 络 C&C 服务 器 。 


4.5.4 僵尸 网 络 的 防范 方法 


僵尸 网 络 产生 的 根本 原因 在 于 目前 操作 系统 和 网 络 体系 结构 存在 的 局 限 性 。 操 作 系统 
和 软件 的 漏洞 导致 僵尸 程序 的 感染 ,而 互联 网 开放 式 的 端 到 端 通信 方式 ,使 得 攻击 者 可 以 相 
对 容易 地 对 僵尸 程序 进行 控制 。 从 根本 上 解决 僵尸 网 络 这 一 安全 威胁 ,需要 系统 和 网 络 体 
系 结构 的 改变 ,而 所 期 望 的 改变 在 短 时 间 内 是 难以 实现 的 。 由 于 在 现 有 体系 下 难以 从 根本 
上 解决 僵尸 网 络 的 存在 问题 ,所 以 僵尸 网 络 逐 渐 形成 了 一 种 攻防 双方 持续 对 抗 和 竞争 的 态 
势 。 所 以 ,从 安全 防御 的 角度 出 发 ,了 解 僵尸 网 络 的 运行 机 制 并 及 时 跟踪 其 发 展 态势 ,有 针 
对 性 地 进行 防御 ,是 目前 应 对 僵尸 网 络 威胁 的 关键 。 
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1. 僵尸 网 络 的 跟踪 

充分 了 解 伪 己 网络 的 内 部 工作 机 制 是 防御 者 应 对 僵尸 网 络 安全 威胁 的 前 提 条 件 。 伪 己 
网 络 跟踪 (botnet tracking) 为 防御 者 提供 了 一 套 可 行 的 方法 ,其 基本 思想 是 ; 首先 通过 各 种 
途径 获取 因特网 上 实际 存在 的 僵尸 网 络 命令 与 控制 信道 的 相关 信息 ; 然后 模拟 成 受 控 的 伪 
尸 程序 加 入 僵尸 网 络 中 ,对 僵尸 网 络 的 内 部 活动 进行 观察 和 跟踪 。 

部 署 包含 有 蜜 饶 主 机 的 蜜 网 (honeynet) 是 对 僵尸 网 络 进行 跟踪 的 一 种 有 效 方法 。 利 用 
蜜 网 ,可 以 捕获 到 因特网 上 实际 传播 的 大 量 僵尸 程序 ,然后 分 析出 僵尸 程序 所 连接 的 IRC 
命令 与 控制 信道 信息 ,包括 IRC 服务 器 的 域名 及 IP 地 址 和 端口 号 .连接 IRC 服务 器 的 密 
码 、 僵 尸 程序 用 户 标 识 和 昵称 的 结构 .加 入 的 频道 名 和 可 选 的 频道 密码 等 。 然 后 ,使 用 IRC 
客户 端 追踪 工具 根据 控制 信道 信息 加 入 到 僵尸 网 络 进行 跟踪 。 

通过 对 僵尸 网 络 的 跟踪 ,可 以 较为 全 面 地 了 解 僵 尸 网 络 的 控制 服务 器 位 置 、. 行 为 特性 和 
结构 特性 ,为 防御 者 进一步 检测 与 处 置 僵尸 网 络 提供 了 充分 的 信息 支持 。 不 过 也 存在 一 些 
不 足 : 基于 蜜 饶 技 术 的 采集 和 跟踪 方法 无 法 有 效 地 检测 出 全 部 活跃 的 僵尸 网 络 ,无 法 为 因 
特 网 用 户 提供 直接 保护 ; 另外 ,僵尸 网 络 控制 者 在 觉察 到 被 跟踪 后 ,可 以 采取 信息 裁减 机 
制 .更 强 的 认证 机 制 等 方法 加 大 僵尸 网 络 跟踪 的 难度 ,并 减少 跟踪 所 能 够 获取 的 信息 ; 还 
有 ,各 种 基于 HTTP 协议 和 基于 P2P 协议 的 僵尸 网 络 命令 与 控制 机 制 的 使 用 为 僵尸 网 络 
跟踪 带 来 了 较 大 困难 ; 最 后 ,防御 者 对 僵尸 网 络 实施 跟踪 一 旦 被 发 现 ,就 很 可 能 被 僵尸 网 络 
控制 者 实施 DDoS 攻击 。 

2. 僵尸 网 络 的 防御 与 反 制 方法 


僵尸 网 络 的 防御 与 反 制 是 一 项 较为 复杂 的 工作 ,下 面 介 绍 常用 的 几 种 方法 。 

(1) 传统 防御 方法 。 由 于 构建 僵尸 网 络 的 僵尸 程序 仍 是 恶意 代码 的 一 种 ,所 以 传统 的 
防御 方法 是 加 强 因 特 网 主机 的 安全 防御 等 级 以 防止 被 僵尸 程序 感染 ,并 通过 及 时 更 新 反 病 
毒 软 件 特征 库 清 除 主机 中 的 僵尸 程序 ,主要 包括 使 用 防火 墙 .DNS 阻 断 、 补 丁 管理 等 技术 
手段 。 

(2) 创建 黑 名 单 。 通 过 路 由 和 DNS 黑 名 单 的 方式 屏蔽 僵尸 网 络 中 恶意 的 IP 地 址 和 域 
名 是 一 项 简单 而 有 效 的 技术 。 在 该 方法 中 ,如 何 获得 恶意 IP 地 址 及 域名 等 信息 是 关键 。 目 
前 ,已 有 一 些 研究 机 构 和 个 人 在 网 络 上 共享 了 通过 僵尸 程序 分 析 、IDS 日 志 分 析 等 方法 获得 
的 恶意 IP 地 址 和 域名 的 黑 名 单 。 为 此 ,只 要 能 够 确保 黑 名 单 的 及 时 性 和 准确 性 ,创建 黑 名 
单方 法 是 非常 有 效 的 。 

另外 ,针对 基于 Web 方式 来 传播 僵尸 程序 这 一 现象 ,目前 各 主流 的 Web 浏览 器 都 加 入 
了 黑 名 单机 制 来 阻止 用 户 对 恶意 Web 网 址 的 访问 。 例 如 ,Google 公司 启动 了 Google Safe 
Browsing 项 目 来 收集 并 发 布 挂 马 和 僵尸 程序 宿主 网 页 及 钓鱼 网 站 ,并 以 黑 名 单 的 形式 集成 
在 firefox 和 chrome 浏览 器 中 。 其 他 浏览 器 厂商 也 进行 了 类 似 的 工作 。 

(3) 关闭 僵尸 网 络 使 用 的 域名 。 直 接 关 停 僵尸 网 络 所 使 用 的 域名 或 关闭 其 命令 与 控 
制服 务 器 的 网 络 连接 是 一 种 最 直接 有 效 的 方法 。 例 如 ,针对 僵尸 网 络 具 有 命令 与 控制 信 
道 这 一 基本 特性 ,可 以 通过 摧毁 或 无 效 化 僵尸 网 络 命令 与 控制 机 制 使 其 无 法 对 因特网 造 
成 危害 。 
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4.6 Rootkit 


Rootkit 不 是 一 项 新 技术 ,但 却 是 恶意 代码 家 族 中 发 展 最 快 、 安 全 威胁 最 大 的 技术 之 一 。 
McAfee 实验 室 在 “McAfee Labs Threats Predictions for 2017 And Beyond” 中 提出 : 硬件 
和 固件 将 日 益 成 为 通过 复杂 技术 进行 攻击 的 主要 目标 。Rootkit 技术 涉及 UNIX/Linux、 
Windows、NetWare 计算 机 操作 系统 ,以 及 Google Android、Apple iOS、Windows Phone 等 
移动 智能 终端 操作 系统 。 


4.6.1 Rootkit 的 概念 


从 网 络 攻 击 的 方法 来 看 ,Rootkit 是 攻击 者 使 用 的 一 个 软件 工具 集 , 用 于 获得 对 系统 的 
非 授 权 访问 ,为 攻击 者 获取 敏感 数据 提供 特殊 权限 ,并 隐藏 自己 的 存在 ,而 且 根据 需要 允许 
安装 其 他 恶意 软件 。 从 Rootkit 的 组 成 Root( 特 权 用 户 ) 和 kit( 工 具 集 ) 可 以 看 出 ,Rootkit 
是 能 够 获得 系统 特权 并 能 够 控制 整个 系统 的 工具 集 。 在 安装 Rootkit 之 前 ,攻击 者 需要 管 
理 员 权限 。Rootkit 是 最 具 挑战 性 的 恶意 软件 ,因为 它 很 难 通过 系统 提供 的 检测 机 制 及 第 三 
方 的 检测 软件 发 现 。 

综 上 所 述 ,Rootkit 是 一 种 能 够 同时 针对 操作 系统 (包括 微 内 核 操 作 系 统 ) 的 用 户 模式 和 
内 核 模式 进行 程序 或 指令 修改 ,达到 通过 隐藏 程序 执行 或 系统 对 象 的 变化 来 规避 系统 正常 
检测 机 制 ` 绕 开 安 全 软件 监控 与 躲避 取证 手段 ,进而 实现 远程 渗透 .尝试 隐藏 .长 期 潜伏 并 对 
整个 系统 进行 控制 的 攻击 技术 。 与 传统 的 恶意 代码 不 同 ,Rootkit 攻击 的 灵活 性 更 大 、 破 坏 
性 更 强 .被 检测 的 难度 也 大 ,当然 技术 要 求 更 高 。 

Rootkit 与 计算 机 病毒 .蠕虫 .木马 .后门 和 僵尸 程序 等 同属 于 恶意 代码 ,都 是 由 攻击 者 
按照 攻击 意图 植 人 到 被 攻击 系统 中 的 程序 或 代码 ,都 具有 潜伏 性 和 破坏 性 。 但 与 其 他 类 型 
的 恶意 代码 不 同 的 是 : Rootkit 还 会 替换 或 修改 被 攻击 系统 中 的 程序 。 作 为 恶意 代码 家 族 
中 的 新 秀 ,Rootkit 几乎 集成 了 家 族 成 员 所 有 的 优势 : 破坏 性 最 强 的 计算 机 病毒 会 修改 硬件 
ROM 中 的 代码 (如 CIH 病毒 ) ,而 这 是 Rootkit 最 基本 的 特征 。 木 马 最 大 的 特点 是 将 自己 
伪装 成 为 合法 的 程序 ,以 便 能 够 用 欺骗 方式 隐藏 自己 ,而 Rootkit 的 隐藏 性 要 比 传统 的 木马 
更 深 ; 木马 程序 通过 远程 Shell、 远 程控 制 GUI 等 方式 对 被 攻击 系统 实施 远程 控制 ,并 为 攻 
击 者 绕 过 正常 的 安全 检测 机 制 提供 访问 通道 ,更 能 在 系统 重启 后 实施 自 启动 ,在 这 方面 
Rootkit 是 有 过 之 而 无 不 及 的 。 作 为 一 种 特殊 形态 的 恶意 代码 ,Rootkit 能 够 将 自己 伪装 为 
系统 中 的 一 个 合法 程序 (木马 的 特征 ) ,使 得 攻击 者 可 以 按照 自己 的 方式 去 访问 系统 (后 门 的 
特征 ) ,修改 或 替换 硬件 (如 BIOS、 显 卡 等 ) 中 的 代码 或 系统 中 的 正常 程序 而 将 自己 隐藏 起 来 
(高 级 计算 机 病毒 的 特征 ) 。 


4.6.2 用户 模 式 Rootkit 和 内 核 模 式 Rootkit 


自 底 向 上 分 层 模 型 的 特点 是 通过 层 间 接口 技术 将 下 层 的 差异 性 利用 统一 的 服务 模式 
(标准 或 协议 ) 封 装 起 来 ,下 层 为 其 上 层 提 供 一 种 抽象 一 致 的 按 需 服务 。 然 而 ,这 种 分 层 模 型 
却 为 攻击 者 提供 了 可 利用 的 机 会 ,攻击 者 通过 算 改 下 层 组 件 结构 或 动 持 并 替换 下 层 组 件 的 
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输出 值 ,达到 欺骗 上 层 调用 并 隐匿 自身 的 目的 。 目 前 广泛 使 用 的 Windows、UNIX/Linux 
操作 系统 都 采用 分 层 模型 ,Rootkit 可 以 工作 在 操作 系统 的 用 户 模式 和 内 核 模 式 。Rootkit 
可 以 攻击 操作 系统 用 户 态 中 的 一 些 内 建 程序 或 库 文 件 ,攻击 者 可 以 用 事先 编写 的 蔡 换 程序 
覆盖 有 关 访 问 计 算 机 的 程序 和 服务 ,替换 系统 中 各 种 信息 查看 工具 从 而 向 用 户 隐瞒 攻击 者 
在 被 控 系 统 中 的 文件 .进程 和 网 络 使 用 情况 ,更改 程序 的 运行 时 间 、 删 除 或 修改 系统 日 志 , 解 
开工 具 包 并 自动 安装 脚本 程序 等 。 其 中 ,在 Windows 系统 中 Rootkit 可 以 使 用 开发 接口 将 
自身 的 恶意 功能 逻辑 地 插入 到 正常 的 Windows 函数 中 ,而 无 须 履 盖 现 有 的 Windows 代码 。 
为 了 能 够 修改 操作 系统 中 的 关键 文件 ,可 以 关闭 Windows 中 的 WFP (Windows File 
Protection) 机 制 ,还 可 以 通过 DLL 注入 (DLL Injection) 和 API 挂钩 (API Hooking) 技 术 将 
恶意 代码 直接 加 载 到 已 运行 进程 的 内 存 空间 中 。 

从 攻击 的 有 效 性 来 讲 , 内 核 模式 下 的 Rootkit 可 以 直接 对 操作 系统 的 内 核对 象 ( 如 事件 
对 象 .文件 对 象 .文件 映射 对 象 作 业 对 象 . 进 程 对 象 .线程 对 象 等 ) 进 行 攻击 ,可 以 通过 修改 
内 核 代码 来 欺骗 用 户 模式 下 的 可 信和 软件 ,能 够 通过 访问 底层 信息 来 对 整个 系统 进行 控制 ,能 
够 利用 内 核 权限 来 对 抗 一 些 正常 的 安全 机 制 ,通过 修改 内 核 代 码 来 实施 深度 隐藏 (如 隐藏 自 
己 所 有 的 文件 和 文件 夹 .隐藏 进程 .隐藏 通信 端口 等 )。 所 以 Rootkit 作用 在 内 核 模 式 下 时 
要 比 作用 在 用 户 模式 对 系统 的 破坏 性 更 强 , 更 难 被 检测 和 防御 。 对 Linux 而 言 , 由 于 其 开源 
性 ,同时 支持 在 内 核 中 注入 新 代码 这 一 LKM(Linux Kernel Module) 内 核 扩 展 机 制 ,所 以 
Rootkit 对 Linux 内 核 的 修改 更 加 容易 实现 。 在 Windows 系统 中 实现 Rootkit 的 方式 较 
多 ,通过 修改 设备 的 驱动 程序 来 改变 某 个 特定 的 系统 服务 调用 ; 通过 修改 底层 函数 使 之 在 
执行 完 Rootkit 函数 后 再 继续 执行 原 函 数 以 绕 过 上 层 软 件 的 检测 ; 通过 修改 DKOM(Direct 
Kernel Object Manipulation) 来 隐藏 文件 .程序 .注册 表 项 等 。 


4.6.3 Bootkit 攻击 


自从 1999 年 Greg Hoglund 针对 Windows NT 首次 提出 Windows Rootkit 概念 以 来 ， 
随 着 研究 的 深入 ,Windows Rootkit 的 内 涵 和 外 延 虽然 一 直 在 不 断 发 展 变化 ,但 其 具有 的 深 
度 隐 藏 .长 期 潜伏 、 伺 机 攻击 的 特征 却 没 有 改变 。2005 年 ,eEye Digital 安全 公司 首次 提出 
Bootkit 的 概念 ,将 其 定义 为 主要 针对 硬件 攻击 的 Rootkit。2011 年 出 现 的 “BMW” 病 毒 , 通 
过 连环 感染 BIOS、MBR (Main Boot Record, 主 引导 记录 ) 和 针对 Windows 的 BIOS 
Rootkit ,能 够 在 操作 系统 之 前 获取 对 主机 的 控制 权 , 并 对 抗 几乎 所 有 的 杀毒 软件 .HIPS 
(Host-based Intrusion Prevention System) 和 审计 系统 ,同时 在 硬盘 上 不 留任 何 痕迹 ,即使 
重新 安装 了 操作 系统 甚至 是 更 换 了 硬盘 也 无 法 清除 .。“BMW” 病 毒 使 安全 界 对 Bootkit 攻 
击 有 了 更 进一步 的 认识 。 

图 4-12 较为 详细 地 描述 了 计算 机 的 启动 过 程 。 下 面 以 Windows Bootkit 为 例 具体 进 
行 讨论 。Bootkit 攻击 的 主要 对 象 是 计算 机 板 上 的 BIOS 芯片 和 磁盘 的 MBR。Bootkit 主要 
针对 运行 在 实 模式 下 的 BIOS 和 MBR 及 其 他 引导 程序 。 其 方法 是 : 主要 利用 挂钩 技术 ,将 
攻击 代码 插入 正常 的 引导 程序 ,在 计算 机 开始 启动 进入 操作 系统 之 前 ,支持 原 有 程序 的 运 
行 ,使 攻击 者 在 早 于 操作 系统 之 前 获取 对 主机 的 控制 权 , 进 而 规避 系统 的 安全 防护 措施 , 实 
施 对 系统 的 破坏 并 隐藏 自己 。 

计算 机 系统 在 从 BIOS 到 MBR 的 引导 过 程 中 ,分 别 使 用 了 INT 13h 和 INT 19h 实 模 
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开机 





BIOS 自 检 
(内 存 地 址 为 Offff:0000) 








将 MBR 读 入 内 存 
(内 存 地 址 为 0000:7c000) 

























检查 (WORD) 
0000:7dfe 是 否 等 于 
OXaa55? 


部 
巩 





执行 MBR 中 的 程序 
( 跳 转 到 0000:7c00 处 ) 
显示 "No ROM 


i 从 其 他 介 
MBR 将 自己 复制 到 BASIC"， 死 机 质 启动 


0000:0600 处 







































十 休 否 (或 不 止 一 个 ) 
中 有 没有 标志 为 
“活动 "的 分 区 ? 












将 活动 分 区 的 第 一 停止 运行 
个 扇 区 读 入 内 存 地 
址 0000:7c00 处 

























检查 
(WORD) 0000:7dfe 是 否 等 
于 0Xaa55? 













跳 转 到 0000:7c00 处 继续 执 Ea i 
子 尾 宇 么 统 的 户 动 程序 显示 “Missing Operating System” 然后 
Lhd aled 停止， 或 者 尝试 从 秩 盘 或 其 他 介质 启动 


式 中 断 ,BIOS 通过 19h 中 断 , 从 启动 盘 ( 硬 盘 、 光 盘 等 ) 中 选取 一 个 启动 分 区 ,然后 通过 13h 
中 断 将 该 启动 分 区 中 的 Bootloader 加 载 到 内 存 中 ,并 对 CPU 及 相关 硬件 进行 初始 化 ,为 操 
作 系 统 的 加 载 提 供 所 需要 的 运行 环境 。 攻 击 者 利用 系统 启动 过 程 中 BIOS 和 MBR 的 引导 
特点 , 便 可 以 实施 Bootkit 攻击 。 主 要 攻击 过 程 为 : 首先 针对 具体 的 BIOS 文件 类 型 ,将 攻 
击 代 码 插 入 到 原 有 的 BIOS 文件 中 (或 用 新 编写 的 带 有 攻击 代码 的 BIOS 文件 替换 BIOS 
ROM 中 原 有 的 文件 ) ,在 系统 启动 时 将 运行 带 有 攻击 代码 的 BIOS 程序 ; 然后 利用 挂钩 技 
术 , 系 统 在 调用 19h 和 13h 中 断 时 ,首先 会 分 别 执行 攻击 程序 ,结束 后 再 分 别 返回 正常 的 
19h 和 13h 调用 。 在 此 过 程 中 ,表面 上 看 整个 启动 过 程 没有 发 生 任何 变化 ,一 般 也 不 会 影响 
操作 系统 的 正常 加 载 (由 Bootloader 引导 操作 系统 ) ,但 实质 上 攻击 代码 通过 两 次 劫持 早已 























图 4-12 计算 机 的 启动 过 程 
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运行 。 更 为 可 怕 的 是 ,攻击 者 可 以 通过 对 两 次 中 断 动 持 中 攻击 方式 的 组 合 , 实 施 更 复杂 、 破 
坏 性 更 强 的 攻击 。 例 如 ,在 第 1 次 中 断 劫持 后 获得 对 系统 底层 的 控制 权 ,而 在 第 2 次 劫持 后 
可 以 获取 对 操作 系统 的 控制 权 , 实 施 对 内 核 的 Rootkit 攻击 。 


4.6.4 挂钩 技术 


虽然 Rootkit 可 以 攻击 操作 系统 的 用 户 模式 ,但 其 核心 功能 还 是 以 攻击 内 核 模式 为 主 。 
同时 ,为 增加 技术 分 析 时 的 针对 性 ,本 节 主 要 以 Windows Rootkit 为 分 析 对 象 。 

Windows 系统 采用 基于 事件 驱动 的 消息 传递 机 制 。Windows 系统 将 事件 封闭 在 消息 
中 ,信息 是 系统 用 于 告诉 应 用 程序 某 个 事件 发 生 的 一 个 通知 ,如 用 户 移动 鼠标 、 按 下 键盘 等 
都 作为 一 个 事件 而 产生 一 个 信息 ,系统 将 信息 传递 给 指定 的 窗口 进行 处 理 , 这 样 基于 事件 驱 
动 的 信息 传递 机 制 便 实 现 了 Windows 应 用 程序 GUI 界面 的 交互 。 在 以 上 的 过 程 中 ,系统 
内 部 具体 执行 了 哪些 操作 ,内 部 的 程序 又 是 按 什么 顺序 运行 的 ,用 户 并 不 知道 。 

挂钩 (Hooking) 技 术 是 将 要 执行 的 具有 某 种 特殊 功能 的 代码 (如 Rootkit 攻击 代码 ) 作 
为 外 挂 程序 巧妙 地 插入 到 目标 程序 (被 挂钩 程序 ) 中 。 当 目标 程序 执行 到 被 挂钩 处 时 强行 转 
向 执行 外 挂 程序 (钩子 程 序 ) , 当 外挂 程 序 执行 结束 后 再 返回 目标 程序 的 被 挂钩 处 继续 执行 
目标 程序 。 挂 钧 技术 能 够 为 用 户 提 供 系统 或 进程 中 各 种 事件 产生 的 消息 ,并 能 够 根据 用 户 
需要 改变 程序 的 执行 流程 , 且 增 加 新 的 功能 。 也 就 是 说 ,挂钩 技术 为 用 户 访问 Windows 系 
统 程序 的 结构 和 执行 方式 提供 了 一 种 途径 ,而 Windows 系统 的 这 一 工作 机 制 却 为 实现 
Rootkit 攻击 创造 了 条 件 。 攻 击 者 只 要 能 够 访问 目标 进程 的 地 址 空间 ,就 可 以 挂 钧 并 修改 其 
中 的 任何 函数 (如 函数 指针 、 系 统 调用 入 口 地 址 等 )。 在 进程 打开 时 这 些 被 修改 后 的 函数 被 
调用 执行 ,此 时 将 自动 跳 转 到 攻击 者 设置 的 攻击 代码 所 在 的 地 址 去 执行 ,并 实现 隐藏 进程 和 
端口 等 功能 。 例 如 ,利用 挂钩 技术 ,攻击 者 可 以 将 木马 后门 等 恶意 代码 以 驱动 程序 的 形式 
挂 钧 到 系统 的 正常 启动 流程 中 (如 Windows 的 Winload. exe) ,使 这 些 恶 意 代码 在 用 户 根 本 
不 知情 的 情况 下 随 着 系统 驱动 程序 的 加 载 而 自动 运行 。 

从 理论 上 讲 ,不 管 是 用 户 模式 还 是 内 核 模式 ,只 要 存在 能 够 挂钩 的 地 方 都 可 以 实现 基于 
挂钩 的 Rootkit 攻击 。 

1. API 函数 挂钩 攻击 

API 函数 挂钩 是 最 典型 的 一 种 挂 钧 技术 。 在 Windows 环境 下 主要 有 两 种 实现 API 函 
数 挂钩 的 操作 : 一 种 是 通过 修改 PE(Portable Executable, 可 移植 执行 体 ) 文 件 的 IAT 
(Import Address Table, 输 入 地 址 表 ) 使 API 函数 地 址 重 定 向 ,该 方式 称 为 IAT Hooking 
(基于 IAT 表 的 挂钩 ); 另 一 种 是 算 改 API 函数 地 址 中 的 机 器 码 , 即 用 无 条 件 跳 转 指令 JMP 
的 机 器 码 来 替换 API 函数 入 口 地 址 中 的 机 器 码 ,该 方式 称 为 Inline Hooking。 

(1) IAT Hooking。 输 入 函数 是 指 允 许 被 程序 调用 ,但 其 自身 却 不 在 调用 程序 中 的 函 
数 。Windows 系统 中 的 输入 函数 执行 体 一 般 位 于 一 个 或 多 个 动态 链接 库 (DLL) 中 , 当 PE 
文件 被 调和 人 内存 时 ,Windows 加 载 程序 才 会 加 载 DLL, 即 通过 DLL 来 调用 输入 函数 。IAT 
表 中 就 保存 着 调用 函数 与 输入 函数 地 址 之 间 的 关联 信息 。 如 图 4-13 所 示 , Rootkit 攻击 程 
序 会 分 析 内 存 中 目标 程序 (PE 文件 ) 的 结构 ,用 GetProcAddress 获取 API 函数 的 地 址 , 根 
据 该 地 址 在 IAT 表 中 查找 目标 函数 (输入 函数 ) 的 地 址 ,然后 用 VirtualProtect 改变 内 存 区 
域 的 保护 ,之 后 再 用 攻击 函数 地 址 替换 IAT 表 中 该 条 目 中 目标 函数 地 址 。 最 后 , 当 目 标 函 
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数 被 调用 时 ,实际 执行 的 是 攻击 函数 ,而 非 原 函 数 。 该 攻击 方式 实现 起 来 较为 容易 ,但 对 使 
用 GetProcAddress 显 式 调用 的 DLL 不 起 作用 。 




























































































IAT 表 IAT 表 

[| 输入 函数 内 原 输入 函数 

存 地 址 内 存 地 址 

API 函 数 地址 六， API 函 数 地 址 

i 

ootkit 
Hooking 函 数 

内 存 地 址 

(a) 正常 的 执行 体 路 径 (b) IAT Hooking 执 行 体 路 径 


图 4-13 IAT Hooking 的 工作 过 程 


(2) Inline Hooking。 与 IAT Hooking 通过 修改 内 存 中 输入 函数 地 址 实现 到 Rootkit 
攻击 函数 跳 转 不 同 的 是 : Inline Hooking 直接 修改 API 函数 入 口 处 的 机 器 码 使 其 转 到 
Rootkit 攻击 函数 。 在 进行 了 跳 转 后 ,为 了 使 API 函数 能 够 顺利 执行 ,在 完成 Rootkit 攻击 
函数 执行 后 还 须 返 回 API 函数 ,接着 执行 API 函数 后 续 的 代码 。Inline Hooking 的 工作 过 
程 如 图 4-14 所 示 。 该 攻击 方式 的 通用 性 强 , 从 理论 上 可 以 在 API 函数 的 任何 地 方 把 原来 指 
令 蔡 换 成 Rootkit 攻击 者 的 跳 转 指令 ,来 躲避 在 线 (inline) 检 测 。 但 缺点 是 由 于 不 同 操作 系 
统 中 的 机 器 码 可 能 不 同 ,所 以 攻击 函数 的 稳定 性 和 跨 平台 操作 效果 较 差 。 












































原 API 函 数 
入 口 处 指令 A 指令 B 
Inline Hooking 后 的 API 函 数 
JMP Ro St 函数 指令 B 
站 Rootkit 攻击 函数 t 
执行 Rootkit 攻 击 函 数 JMP 重 新 返回 函数 
© ”重新 返回 函数 
入 口 处 指令 A JMP 回 到 原 函 数 























图 4-14 ”JInline Hooking 的 工作 过 程 


2. 描述 符 表 挂钩 攻击 

Rootkit 攻击 者 可 以 针对 SSDT IDT .GDT、LDT 等 描述 符 表 (Descriptor Table, DT) 
的 挂钩 机 制 , 对 操作 系统 内 核 进行 攻击 。 

(1) SSDT 挂钩 攻击 。SSDT(System Service Descriptor Table, 系 统 服务 描述 符 表 ) 是 
Windows 系统 中 实现 用 户 程 序 调用 系统 服务 的 查询 表 , 即 关联 用 户 模 式 下 的 Win32 API 与 
内 核 模 式 下 的 系统 服务 函数 的 关联 表 。 可 以 将 被 应 用 程序 调用 的 系统 服务 函数 的 服务 号 及 
对 应 的 入 口 地 址 存放 在 SSDT 表 中 ,这 样 当 应 用 程序 向 操作 系统 发 送 了 一 个 调用 系统 服务 
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函数 的 请 求 指令 后 ,操作 系统 便 从 SSDT 表 中 查询 该 服务 器 对 应 的 入口 地 址 ,并 根据 查询 结 
果 执 行 对 应 的 代码 。 

SSDT Hooking 的 实现 方法 如 图 4-15 所 示 ,即将 SSDT 表 中 的 某 系 统 服务 号 对 应 的 入 
口 地 址 修改 为 外 挂 钧 子 函 数 的 地 址 ,从 而 改变 系统 服务 函数 原 有 的 执行 路 径 。SSDT 
Hooking 攻击 的 方法 也 较为 简单 ,Rootkit 攻击 者 在 确定 了 某 系 统 服务 函数 后 ,通过 修改 
SSDT 表 中 的 对 应 项 ,使 其 指向 Rootkit 代码 。 根 据 攻击 的 需要 ,SSDT Hooking 可 以 进行 
嵌 套 。 


























SSDT Ntoskmnlexe 
服务 号 入 口 地 址 地 址 代码 
Ox0 address0 address0 …- 
Oxl address1 address1 
0x2 address2 address2 
Oxn hooking addr ”| address(n) 
Ox(n+1) address(n+1) address(n+1) 
































hooking addr | rootkit 代 码 





4-15 SSDT Hooking 的 实现 方法 


(2) IDT 挂钩 攻 击 。IDT(Interrupt Descriptor Table, 中 断 描 述 符 表 ) 挂 钓 是 针对 系统 
内 核 的 Rootkit 技术 。CPU 根据 中 断 号 获取 对 应 服务 程序 的 入 口 地 址 (中 断 向 量 值 ) ,1DT 
表 就 是 在 内 存 中 建立 的 一 张 让 CPU 由 中 断 号 查找 到 对 应 服务 程序 入口 地 址 的 查询 表 。 
IDT 表 最 大 支持 256 个 表 项 ,但 每 个 表 项 占用 的 字 节 数 在 操作 系统 的 不 同 模式 下 不 同 ,其 中 
在 实地 址 模式 下 为 4 字 节 ,在 保护 模式 下 为 8 字 节 。 根 据 中 断 号 对 异常 类 型 (Faults/ 
Traps/Aborts) 的 不 同 ,每 个 表 项 的 组 成 及 功能 描述 也 不 同 。 

IDT 表 由 专门 的 IDTR 寄存 器 保存 ,操作 系统 可 用 SID 指令 读 出 IDTR 寄存 器 中 的 记 
录 信息 ,用 LIDT 指令 将 新 信息 写 入 IDTR 寄存 器 中 。IDT Hooking 的 实现 方法 就 是 用 新 
的 表 项 来 替换 IDT 表 中 已 有 的 表 项 。Rootkit 攻击 者 通过 用 构造 的 表 项 替换 寄存 器 中 的 相 
应 表 项 ,或 者 根据 攻击 要 求 写 人 新 的 表 项 ,以 此 来 改变 系统 服务 调用 的 执行 流程 ,并 通过 动 
持 和 算 改 信息 达到 隐藏 自身 的 目的 。 

(3) GDT/LDT 挂钩 攻击 。GDT(Global Descriptor Table, 全 局 描述 符 表 ) 用 于 存放 描 
述 内 存 区 域 的 地 址 及 访问 特权 的 段 描述 符 ( 如 任务 状态 段 TSS 描述 符 、 数 据 和 代码 段 描 述 
符 等 )。GDT 在 系统 中 是 唯一 的 ( 即 一 个 处 理 器 对 应 一 个 GDT), 它 由 所 有 程序 和 任务 共 
享 ,并 可 存放 在 内 存 的 任意 位 置 。Intel x86 处 理 器 用 一 个 GDTR 寄存 器 存放 DGT 的 入 口 
地 址 和 表 长 度 (GDT 表 占 用 的 字 节 值 ) ,分 别 用 LGDT 和 SGDT 指令 向 GDTR 寄存 器 中 加 
载 和 读 取 GDT 的 入口 地 址 。LDT(Local Descriptor Table, 局 部 描述 符 表 ) 的 本 质 与 GDT 
一 致 ,只 是 每 一 个 进程 对 应 一 个 LDT 表 ,LDT 表 的 入 口 地 址 保存 在 LDTR 寄存 器 中 ,分 别 
通过 LLDT 和 SLDT 指令 加 载 和 读 取 。 
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在 Windows 系统 默认 状态 下 ,GDT 和 LDT 都 包含 有 调用 门 (call-gates) 入 口 ,GDT/ 
LDT Hooking 的 实现 方式 是 在 描述 符 表 保 留 字段 中 插入 一 个 调用 门 描述 符 来 改变 内 在 段 
的 执行 特权 ,再 借助 相关 技术 实现 进程 隐藏 。 由 于 每 个 实际 运行 的 处 理 器 分 别 对 应 一 个 
GDT 表 ,每 个 线程 可 以 获得 其 对 应 进程 所 包含 的 LDT 表 的 相应 内 容 , 在 GDT/LDT 
Hooking 攻击 中 ,攻击 者 首先 会 设计 一 个 包含 Rootkit 攻击 代码 的 调用 门 , 然 后 将 该 调用 门 
插入 到 GDTR 寄存 器 的 GDT 指定 位 置 。 同 时 , 当 一 个 任务 发 生 切 换 时 ,包含 Rootkit 攻击 
代码 的 线程 管理 器 用 攻击 程序 线程 的 LDT 表 替 换 正在 运行 线程 的 LDT 表 , 实 现 对 线程 的 
隐藏 。 

(4) IRP 挂钩 攻击 。IRP(IMO Request Package,I/O 请 求 包 ) 是 Windows 内 核 中 一 个 
预定 义 的 数据 结构 ,一 个 IRP 由 一 个 固定 的 首部 和 不 定数 目的 IRP 栈 单元 块 组 成 ,IRP 栈 
为 先进 后 出 的 向 下 生长 的 栈 。 当 上 层 应 用 程序 需要 调用 底层 的 I/O 设备 时 ,应 用 程序 便 发 
送 一 个 1/O 请 求 ,1/O 管理 器 首先 将 其 转换 为 一 个 IRP, 然 后 传送 到 合适 的 驱动 程序 栈 中 的 
不 同 派遣 例 程 进行 处 理 。IRP 用 IoGetCurrentIrpStackLocation 函数 获取 指向 当前 栈 单 元 
的 指针 ,使 用 IoCopyCurrentIrpStackLocationToNext 或 IoSkipCurrentIrpStackLocation 本 
数 把 当前 栈 单元 复制 到 下 一 个 栈 单元 。 

基于 Windows 系统 的 层次 模型 和 IRP 栈 先 进 后 出 的 工作 机 制 , 驱 动 程序 使 用 
IoSetCompletionRoutine 函数 挂 接 一 个 完成 例 程 ,而 该 完成 例 程 信息 存储 在 对 应 驱动 程序 
的 IRP 栈 单元 中 。 攻 击 者 将 Rootkit 驱动 程序 插入 到 驱动 程序 栈 中 ,在 截获 合法 驱动 程序 
后 对 其 信息 进行 修改 和 过 滤 , 从 而 达到 隐藏 文件 、 嗅 探 击 键 和 鼠标 操作 等 目的 。 


4.6.5 DKOM 技术 


前 面 介绍 的 API 函数 挂钩 攻击 和 描述 符 表 挂钩 攻击 都 是 利用 被 攻击 对 象 的 工作 机 制 ， 
通过 修改 程序 执行 流程 或 重 定 向 指令 等 方式 来 实现 Rootkit 攻击 。 而 DKOM (Direct 
Kernel Object Manipulation ,直接 内 核对 象 操 作 )Rootkit 攻击 技术 通过 直接 修改 Windows 
系统 的 设备 驱动 程序 或 可 加 载 内 核 模块 ,以 实现 进程 .文件 和 网 络 连接 的 隐藏 和 进程 提 权 。 

以 Rootkit 攻击 者 实现 Windows 系统 进程 隐藏 为 例 。 当 创建 一 个 进程 时 ,系统 会 给 该 
进程 建立 一 个 对 应 的 内 核 EPROCESS 结构 ,该 结构 的 第 一 个 成 员 为 KPROCESS; 当 创建 
一 个 线程 时 ,系统 同样 会 建立 一 个 对 应 的 内 核 ETHREAD 结构 ,该 结构 的 第 一 个 成 员 为 
KTHREAD。 在 EPROCESS 结构 体 中 ,有 一 个 类 型 为 LIST_ENTRY 结构 体 的 成 员 
ActiveProcessLinks, 它 是 一 个 拥有 FLINK 和 BLINK 两 个 指针 成 员 的 双 链 表 节 点 ,两 个 指 
针 成 员 分 别 指向 前 后 两 个 进程 EPROCESS 结构 体 的 ActiveProcessLinks 成 员 。 当 需要 隐 
藏 Rootkit 攻击 代码 的 进程 时 ,只 需要 把 该 进程 的 EPROCESS 结构 体 从 双向 链表 中 移 除 即 
可 ,如 图 4-16 所 示 。 


4.6.6 虚拟 化 技术 


早期 的 Rootkit 一 般 通 过 Hooking 技术 改变 程序 的 执行 路 径 、 过 滤 系 统 调用 的 返回 信 
息 ,或 者 直接 采用 DKOM 技术 算 改 系统 内 核对 象 来 实现 攻击 过 程 ,对 操作 系统 的 运行 具有 
较 大 的 依赖 性 ,所 以 无 法 彻底 消除 Rootkit 攻击 过 程 产生 的 痕迹 ,容易 被 基于 操作 系统 的 检 
测 技术 发 现 。 硬 件 虚拟 化 技术 的 出 现 导致 了 与 操作 系统 无 关 的 恶意 软件 的 出 现 , 如 基于 虚 
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图 4-16 DKOM 工作 原理 


拟 机 的 Rootkit(Virtual Machine Based Rootkit,VMBR)。 虚 拟 化 (virtualization) 技 术 分 离 
了 传统 的 软件 与 硬件 ,可 支持 多 种 同 构 或 异 构 的 软件 (如 操作 系统 ) 共 享 同一 硬件 设施 。 基 
于 虚拟 化 技术 的 Rootkit 可 以 将 攻击 代码 插入 到 原 有 的 软件 与 硬件 之 间 , 使 传统 的 基于 操 
作 系 统 的 检测 方式 失效 ,从 而 实现 深度 隐藏 的 目的 。 

1. VMM Rootkit 


在 虚拟 机 中 ,VMM(Virtual Machine Monitor, 虚 拟 机 管理 器 ) 是 一 个 运行 在 硬件 与 操 
作 系 统 之 间 的 中 间 件 层 , 主 要 角色 是 对 底层 物理 主机 平台 的 资源 进行 仲裁 ,这 样 多 个 操作 系 
统 ( 即 VMM 客户 机 ) 可 以 共享 硬件 。VMM 为 每 个 虚拟 客户 机 操作 系统 提供 一 组 虚拟 平台 
接口 ,构成 虚拟 机 (Virtual Machine, VM)。 根 据 实现 方式 的 不 同 ,可 以 将 VMM 分 为 宿主 
模型 (Host-based Model) ,监控 模型 (Hypervisor Model) 和 混合 模型 (Hybrid Model)3 种 类 
型 。 其 中 ,在 宿主 模型 中 VMM 运行 在 宿主 操作 系统 上 并 利用 其 提供 的 设备 驱动 及 底层 服 
务 , 客 户 操 作 系 统 需要 借助 宿主 操作 系统 的 VMM; 而 在 监控 模型 中 VMM 直接 运行 在 物 
理 硬件 上 , 且 拥 有 特权 级 ; 混合 模型 是 对 宿主 模型 和 监控 模型 的 集成 ,以 发 挥 VM 的 应 用 
功能 。 
基于 宿主 模型 的 VMM Rootkit 通过 在 宿主 操作 系统 上 安装 一 个 VMM ,然后 将 攻击 代 
码 构建 在 一 个 VM 上 ,并 利用 VMM 的 底层 优势 实现 对 宿主 操作 系统 的 监视 和 完全 控制 ， 
如 截获 网 络 数据 包 、 读 取 硬 盘 或 内 存 中 的 任意 信息 等 。 由 于 运行 有 攻击 代码 的 VM 与 宿主 
操作 系统 之 间 完 全 隔离 ,致使 基于 宿主 操作 系统 的 安全 检测 工具 无 法 检测 到 VM 上 攻击 代 
码 的 存在 ,实现 了 深度 隐藏 。Subvirt 是 一 种 典型 的 基于 宿主 模型 的 VMM Rootkit, 主 要 攻 
击 对 象 为 Windows 和 Linux 系统 , 它 在 重启 宿主 操作 系统 时 优先 加 载 攻击 代码 ,并 长 期 驻 
留 于 硬盘 的 引导 分 区 。 
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基于 监控 模型 的 VMM Rootkit 是 在 硬件 虚拟 化 技术 的 支持 下 ,实现 对 客户 操作 系统 
内 核 驱动 程序 的 修改 。 根 据 攻 击 需要 插入 中 断 或 改变 某 一 程序 的 执行 流程 、 建 立 隐蔽 通信 
通道 等 ,甚至 直接 访问 客户 操作 系统 的 1/O 和 内 存 并 对 信息 进行 过 滤 ,监视 或 记录 ,也 可 构 
建 一 些 敏 感 指令 对 运行 于 VMM 上 的 客户 操作 系统 进行 完全 控制 并 实现 隐藏 。 目 前 ,已 经 
提出 了 多 种 VMM Rootkit, 如 BluePill, 在 目标 操作 系统 (Windows 或 Linux) 运 行 时 ,攻击 
代码 以 驱动 程序 方式 加 载 , 而 Vitriol 主要 针对 MacOS 操作 系统 ,并 在 系统 运行 时 以 可 装载 
模块 方式 加 载 。 

2. SMM Rootkit 


系统 管理 模式 (System Management Mode,SMM) 是 Intel 系列 CPU 支持 的 4 种 模式 
之 一 , 它 拥有 最 高 权限 , 且 独 立 于 操作 系统 ,专门 用 于 电源 管理 .温度 调节 等 底层 硬件 控制 。 
SMM 为 CPU 不 同 模式 之 间 的 切换 提供 了 一 种 透明 机 制 : 当 任 一 程序 或 硬件 发 出 SMI 
(System Management Interrupt, 系 统管 理 中 断 ) 时 ,CPU 首先 将 当前 寄存 器 的 值 存 储 到 
SMRAM(System Management RAM Control Register) 中 ,然后 切换 到 SMM 模式 ,在 一 个 
分 离 的 地 址 空间 执行 SMM 指定 的 代码 ; 当 SMM 需要 返回 时 将 发 出 RSM 指令 , 回 到 被 系 
统管 理 中 断 之 前 的 状态 ,同时 恢复 CPU 寄存 器 的 值 。 

SMM 其 实 是 Intel 系列 CPU 预 留 的 一 种 特权 模式 , 它 拥有 外 部 程序 不 可 见 的 独立 的 
内 存 区 域 和 隔离 的 运行 空间 ,而 且 不 会 受到 内 在 保护 模式 和 优先 级 的 限制 ,操作 系统 无 法 感 
知 到 SMM 中 断 的 发 生 ,这 就 为 SMM Rootkit 攻击 提供 了 深度 隐藏 所 需要 的 条 件 , 同 时 可 
以 对 网 卡 硬盘、 键盘 等 外 围 设 备 进行 控制 。 


4.6.7 Rootkit 的 检测 方法 


作为 恶意 代码 家 族 中 的 新 成 员 ,Rootkit 的 检测 方法 和 防御 技术 需要 在 继承 已 有 成 果 的 
基础 上 ,针对 新 的 攻击 手段 和 目标 有 所 改进 和 突破 。 根 据 研 究 对 象 主体 特征 的 不 同 ,针对 
Rootkit 的 检测 方法 可 分 为 基于 软件 的 检测 法 和 基于 硬件 的 检测 法 两 种 类 型 。 

1. 基于 软件 的 检测 法 

基于 软件 的 检测 法 分 为 行为 检测 法 、 完 整 性 检测 法 、 执 行 时 间 检 测 法 、 执 行路 径 检测 法 
和 差异 检测 法 等 类 型 。 

(1) 行为 检测 法 。 行 为 检测 法 是 通过 对 比分 析 已 有 Rootkit 行为 特征 与 当前 提取 到 的 
特征 信息 ,来 决断 是 否 发 生 了 Rootkit 攻击 行为 。 该 方法 是 基于 对 已 有 Rootkit 攻击 行为 特 
征 库 的 建立 ,检测 过 程 首先 对 目标 对 象 (内 存 、 内 核 文件 等 ) 进 行 扫描 ; 然后 在 库 中 进行 比 
对 ,看 是 否 存在 相 吻 合 的 项 。 行 为 检测 法 的 特点 是 对 已 有 Rootkit 攻击 行为 的 检测 精确 度 
高 ,但 其 前 提 是 需要 完善 的 特征 库 的 支撑 ,所 以 一 些 新 型 或 未 知 的 Rootkit 攻击 很 容易 被 
绕 过 。 

(2) 完整 性 检测 法 。 完 整 性 检测 法 是 通过 检测 系统 文件 或 内 核 文 件 的 完整 性 来 判断 是 
否 存 在 Rootkit 攻击 。 该 方法 需要 建立 齐全 的 针对 系统 不 同 版 本 在 可 信 状 态 下 的 重要 文件 
特征 库 (Hash 值 ) ,在 检测 时 可 提取 当前 状态 下 系统 对 应 文件 的 特征 值 ,并 与 库 中 对 应 的 特 
征 值 进 行 比 对 ,进而 确定 是 否 发 生 了 Rootkit 攻击 。 该 方法 几乎 可 以 检测 出 任何 一 种 
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Rootkit 攻击 行为 ,而 且 简单 易 行 ,但 由 于 需要 事先 计算 所 有 可 能 遭受 Rootkit 攻击 对 象 的 
特征 值 , 实 现 起 来 相对 比较 困难 。 

(3) 执行 时 间 检 测 法 。 执 行 时 间 检 测 法 是 对 系统 运行 时 所 启用 的 服务 指令 的 执行 时 间 
进行 计数 ,以 判断 是 否 有 其 他 的 代码 执行 。 该 方法 需要 在 系统 创建 时 备份 原始 系统 调用 函 
数 ,并 统计 其 正常 状态 下 的 执行 时 间 。 如 果 发 生 了 针对 内 核 的 Rootkit 攻击 ,那么 不 管 该 攻 
击 采用 Hooking 或 DKOM 方式 ,原始 服务 指令 的 执行 时 间 都 会 增长 ,而 且 代 码 的 执行 路 径 
也 会 发 生变 化 。 该 方法 可 以 检测 出 已 知 和 未 知 的 Rootkit 攻击 ,但 会 因 计时 器 (如 本 地 时 
钟 、 外 部 计时 器 等 ) 的 误差 产生 误 报 和 漏 报 。 

(4) 执行 路 径 检测 法 。 执 行路 径 检测 法 是 通过 比较 分 析 某 个 系统 服务 在 可 信 系 统 ( 未 
被 Rootkit 攻击 的 系统 ) 和 待 检测 系统 上 运行 指令 数 的 差异 来 判断 是 否 存在 Rootkit 攻击 。 
该 方法 的 实现 原理 是 : 当 某 一 系统 服务 隐藏 了 Rootkit 攻击 对 象 时 ,系统 在 调用 该 被 攻击 服 
务 时 将 会 执行 一 些 额 外 的 指令 ,总 的 指令 数 必然 会 增加 。 该 方法 从 理论 上 讲 是 可 行 的 ,但 在 
指令 执行 时 CPU 需要 处 于 单 步 模式 ,频繁 的 中 断 操作 会 严重 影响 系统 的 性 能 。 

(5) 差异 检测 法 。 差 异 检测 法 是 通过 分 析 比 较 从 系统 不 同 层次 获得 的 进程 、 网 络 连接 、 
文件 目录 等 列表 信息 ,再 根据 存在 的 差异 来 检测 出 是 否 存在 Rootkit 攻击 。 如 果 一 条 信息 
(如 进程 ) 在 底层 列表 中 出 现 , 但 是 却 没有 在 高 层 列表 中 出 现 ,就 说 明 该 信息 已 经 被 Rootkit 
隐藏 。 检 测 对 象 的 确定 和 列表 信息 的 获取 是 差异 检测 法 的 关键 。 由 于 攻击 代码 在 运行 时 一 
般 都 需要 创建 对 应 的 进程 ,而 绝 大 多 数 Rootkit 攻击 行为 都 将 隐藏 进程 作为 必 备 的 手段 ,所 
以 隐藏 进程 必然 是 差异 检测 的 主要 对 象 ; 列表 信息 的 获取 需要 在 确保 对 象 可 信 的 前 提 下 ， 
尽 可 能 获取 到 最 底层 的 信息 。 例 如 ,基于 交叉 视图 的 差异 检测 法 理论 上 可 以 检测 出 已 知 和 
未 知 的 Rootkit 攻击 ,但 前 提 是 系统 信息 的 获得 必须 是 全 面 和 可 信和 的。 

2. 基于 硬件 的 检测 法 


近年 来 , 随 着 Rootkit 技术 越 来 越 向 底层 深入 ,并 实现 了 优先 于 操作 系统 和 检测 软件 启 
动 等 深度 攻击 功能 ,致使 基于 软件 的 检测 方法 失去 了 功效 。 在 此 情况 下 ,基于 硬件 的 
Rootkit 检测 和 防御 方法 则 成 为 了 一 个 关注 领域 和 研究 方向 。 

目前 ,基于 硬件 Rootkit 攻击 的 检测 研究 已 经 取得 了 一 些 理论 成 果 。 例 如 ,利用 DMA 
(Direct Memory Access, 直 接 内 存 访问 ) 技 术 让 硬件 检测 设备 直接 对 物理 内 存 数据 进行 复 
制 ,并 对 复制 品 分 析 是 否 存 在 异常 行为 。 根 据 检 测 需 要 设计 的 内 存 控 制 器 可 以 实现 特定 的 
外 部 设备 利用 DMA 访问 物理 内 存 并 进行 Rootkit 检测 。 该 技术 的 实现 需要 相应 条 件 的 支 
持 (如 CPU 等 硬件 需要 支持 DMA 操作 ), 同 时 为 了 防止 DMA 物理 内 存在 复制 时 被 
Rootkit 攻击 ,在 复制 过 程 中 目标 主机 的 CPU 需要 处 于 暂停 状态 。 另 外 ,基于 硬件 的 实时 扫 
描 技 术 可 以 对 主机 的 文件 系统 和 物理 内 存 进行 实时 监控 ,及 时 发 现 系 统 的 运行 异常 。 不 过 ， 
现 有 研究 成 果 多 为 理论 探讨 ,具体 的 实践 应 用 较 少 。 


4.6.8 Rootkit 的 防范 方法 


网 络 攻击 与 防御 是 一 个 既 对 立 又 统一 的 过 程 ,检测 是 防御 的 前 提 和 重要 组 成 部 分 ,下 面 
在 Rootkit 检测 方法 的 基础 上 ,继续 讨论 其 防御 方法 。 
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1. 固件 级 防御 

类 似 于 针对 BIOS 的 固件 级 Rootkit 攻击 ,该 类 攻击 最 接近 系统 的 底层 ,而 且 在 操作 系 
统 启动 之 前 就 已 完成 了 攻击 代码 的 加 载 和 隐藏 ,所 以 在 重 装 系统 或 格式 化 硬盘 后 仍然 无 法 
清除 植 和 人 的 攻击 代码 。 针 对 此 类 攻击 行为 ,最 有 效 的 防御 方法 是 在 Rootkit 攻击 之 前 争取 
启动 的 优先 权 , 即 让 Rootkit 防御 代码 优先 于 攻击 代码 加 载 ,使 Rootkit 防御 代码 优先 取得 
对 整个 系统 的 控制 权 , 进 而 拦截 Rootkit 攻击 代码 的 加 载 ,阻止 攻击 行为 的 发 生 。 

可 信 计 算 平 台 分 别 将 BIOS 引导 模块 和 TPM(Trusted Platform Module, 可 信 平 台 模 
块 ) 作 为 完整 性 度量 和 完整 性 报告 的 可 信 根 ,创建 一 条 “CRTM-~~BIOS-~OSLoader 一 OS 一 ~ 
Application” 的 信息 链 , 通 过 先 度量 再 移交 控制 权 的 方式 ,确保 了 每 一 个 环节 的 可 信 性 ,为 防 
御 固 件 级 和 用 户 级 的 Rootkit 攻击 提供 了 一 种 行 之 有 效 的 解决 方案 。 

2. 用 户 级 防御 

由 于 用 户 级 Rootkit 攻击 对 象 主要 是 运行 在 用 户 模 式 下 的 系统 程序 和 用 户 应 用 程序 ， 
包括 系统 DLL 文件 和 应 用 程序 的 二 进 制 文件 ,以 及 一 些 跳 转 表 等 。 这 一 类 攻击 处 于 系统 较 
低 的 特权 级 ,攻击 代码 的 隐藏 较为 困难 ,已 有 的 针对 文件 型 恶意 代码 的 检测 和 防御 技术 能 够 
有 效 地 应 对 。 例 如 ,针对 应 用 程序 或 文件 的 Rootkit 攻击 ,检测 和 防御 程序 只 需要 比较 原始 
对 象 和 疑似 被 攻击 对 象 之 间 的 异同 就 可 以 做 出 判断 和 处 理 。 

3. 内 核 级 防御 

由 于 内 核 级 Rootkit 攻击 行为 发 生 在 操作 系统 的 内 核 空间 中 ,其 攻击 代码 多 以 
Windows 驱动 程序 或 Linux LKM 形式 以 Hooking 或 DKOM 等 方式 加 载 , 并 成 为 操作 系 
统 的 一 部 分 存在 ,拥有 系统 的 最 高 特权 。 与 用 户 级 Rootkit 不 同 的 是 ,内 核 级 Rootkit 不 但 
能 够 实现 自身 的 深度 隐藏 ,而 且 能 够 对 系统 内 核 及 运行 在 操作 系统 上 的 检测 工具 进行 任意 
修改 ,其 破坏 性 更 大 ,而 且 常 规 的 检测 方法 难以 检测 到 其 存在 ,防御 难度 大 。 

针对 内 核 级 Rootkit 攻击 的 防御 思路 是 : 实现 操作 系统 内 核 模块 与 外 部 调和 程序 (如 
Rootkit 攻击 代码 ) 之 间 的 有 效 隔 离 。 这 样 , 当 Rootkit 攻击 代码 通过 Windows 驱动 程序 或 
Linux LKM 方式 试图 加 载 到 系统 内 核 时 ,就 可 以 快速 地 进行 判断 和 清除 。 例 如 ,微软 公司 
在 其 64 位 Windows 操作 系统 中 就 引入 了 PatchGuard 技术 , 它 是 Windows 操作 系统 的 一 
个 安全 保护 层 , 对 内 核 关 键 位 置 进 行 检 测 , 并 引入 了 DES 实现 对 驱动 程序 的 数字 签名 。 该 
机 制 有 效 防 止 了 Hooking 和 DKOM ,进而 避免 了 任何 非 授 权 试 图 修改 Windows 内 核 行为 
的 发 生 。 

4. 虚拟 级 防御 

虚拟 化 技术 的 出 现 和 虚拟 机 的 广泛 应 用 为 Rootkit 攻击 提供 了 一 条 新 的 途径 。 由 于 虚 
拟 级 Rootkit 运行 在 物理 硬件 与 操作 系统 之 间 ,理论 上 拥有 比 操作 系统 内 核 更 高 的 特权 级 ， 
可 以 对 操作 系统 进行 完全 控制 和 操作 ,其 危害 程度 可 想 而 知 。 

针对 虚拟 机 Rootkit 攻击 的 防御 ,目前 已 经 取得 了 一 些 成 果 。 例如 ,基于 HAV 
(Hardware Assisted Virtualization ,硬件 辅助 虚拟 化 ) 技 术 ,通过 引入 新 的 操作 系统 模式 ,使 
客户 操作 系统 以 较 低 的 特权 级 运行 ,有 效 保 护 系 统 的 内 存 等 资源 ,防止 Rootkit 攻击 行为 的 
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习题 


. 什么 是 恶意 代码 ? 主要 包括 哪些 类 型 ? 
. 什么 是 计算 机 病毒 ? 具有 什么 基本 特征 ? 并 简 述 其 感染 和 传播 机 制 。 
. 简 述 可 执行 文件 病毒 .引导 扇 区 病毒 和 宏 病 毒 的 特点 和 工作 机 制 。 
什么 是 蠕虫 ? 它 与 计算 机 病毒 之 间 的 区 别 是 什么 ? 
. 简 述 网 络 蠕虫 的 传播 机 制 。 
什么 是 木马 ? 它 与 计算 机 病毒 和 蠕虫 之 间 的 区 别 是 什么 ? 
. 简 述 网 页 木马 的 攻击 过 程 及 特点 。 
.什么 是 后 门 ? 它 与 计算 机 病毒 和 木马 之 间 的 区 别 是 什么 ? 
. 分 析 端 口 复 用 技术 在 网 络 攻 击 中 的 实现 方法 。 
10. 在 熟悉 Windows 自 启动 实现 方法 的 基础 上 ,通过 实际 操作 ,测试 其 实现 过 程 。 
11. 与 计算 机 病毒 .蠕虫 .木马 后 门 等 恶意 代码 相 比 ,僵尸 网 络 在 实施 攻击 的 方式 上 有 
什么 特点 ? 
12. 简 述 僵尸 网 络 的 工作 机 制 ,并 分 析 其 防御 方法 。 
13. 什么 是 Rootkit 技术 ? 与 传统 的 恶意 代码 相 比 , 具 有 哪些 特点 ? 
14. 简 述 Rootkit 攻击 的 实施 方法 。 
15. 什么 是 挂钩 技术 ? 
16. 什么 是 API 函数 挂钩 攻击 ”分 析 IAT Hooking 和 Inline Hooking 之 间 的 区 别 。 
17. 什么 是 描述 符 表 挂钩 攻击 ? 介绍 SSDT IDT .GDT 、.LDT 的 实现 方法 。 
18. 什么 是 DKOM 技术 ? 介绍 其 实现 方法 。 
19. 通过 对 Rootkit 攻击 技术 的 介绍 , 简 述 其 检测 和 防御 方法 。 
20. 挖 矿 木马 有 什么 特征 ?如何 进 行 有 效 防 范 ? 


CPN rr- 
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随 着 社交 网 络 、 微 博 、 电 子 商务 等 各 类 Web 应 用 的 快速 发 展 , 针 对 众多 Web 业务 平台 
的 网 络 攻击 频繁 发 生 , Web 安全 问题 开始 引起 大 家 的 普遍 关注 。 由 于 Web 应 用 程序 的 访 
问 只 需要 通过 客户 端 浏览 器 就 可 以 完成 ,这 就 形成 了 一 种 新 型 的 B/S(Browser/Server, 浏 
览 器 /服务 器 ) 结 构 。 它 在 继承 了 传统 C/S(Client/Server, 客 户 机 /服务 器 ) 结 构 应 用 优势 的 
基础 上 ,根据 Web 应 用 需求 进行 了 功能 扩展 和 结构 优化 。 同 样 地 ,各 类 网 络 攻击 行为 也 随 
着 体系 结构 和 工作 模式 的 变化 而 变化 ,新 的 应 用 环境 不 仅 要 解决 传统 网 络 中 存在 的 安全 问 
题 ,同时 还 要 应 对 针对 新 应 用 而 出 现 的 新 型 攻击 行为 。 考 虑 到 浏览 器 /服务 器 的 结构 特点 ， 
本 童 重点 介绍 Web 服务 器 的 攻防 ,有 关 Web 浏览 器 的 攻防 将 在 第 6 章 单 独 介绍 。 


5.1 Web 应 用 的 结构 


体系 结构 是 用 于 定义 一 个 系统 的 结构 组 成 及 系统 成 员 间 相互 关系 的 一 套 规则 。 从 互联 
网 应 用 发 展 来 看 ,从 早期 的 终端 /主机 模式 到 后 来 的 共享 数据 模式 ,再 到 C/S 模式 ,发 展 到 
目前 以 B/S 模式 为 主 ,在 电子 商务 等 应 用 中 使 用 的 三 层 或 多 层 模式 ,基于 互联 网 应 用 的 结 
构 发 生 着 巨大 的 变化 。 


5.1.1 C/S 结构 


C/S 结构 虽然 不 是 目前 互联 网 应 用 中 的 主流 结构 ,但 它 是 B/S 结构 的 基础 ,一 些 在 B/S 
结构 中 存在 的 攻击 行为 也 源 自 于 C/S 结构 。 因 此 ,本 节 将 对 C/S 结构 进行 必要 的 介绍 。 

1. C/S 结构 的 实现 方法 

面向 终端 的 网 络 以 大 型 机 为 核心 ,而 C/S 结构 打破 了 大 型 机 在 网 络 中 所 处 的 核心 位 
置 ,通过 充分 发 挥 个 人 计算 机 (PC)、 大 型 数据 库 系统 和 专业 服务 器 操作 系统 CUNIX/Linux、 
NetWare 和 Windows Server) 的 功能 .实现 了 真正 意义 上 的 分 布 式 计算 模式 。C/S 结构 是 
指 将 事务 处 理 分 开 进 行 的 网 络 系统 , 即 C/S 的 工作 模式 采用 了 两 层 结 构 : 第 一 层 在 客户 机 
系统 上 有 机 融合 了 表示 与 业务 逻辑 ; 第 二 层 通过 网 络 结合 了 数据 库 服 务 器 。 更 具体 地 讲 ， 
C/S 结构 将 与 用 户 交互 的 图 形 用 户 界面 (Graphical User Interface,GUI) 和 业务 应 用 处 理 与 
数据 库 访问 与 处 理 相 分 离 ,服务 器 与 客户 机 之 间 通 过 消息 传递 机 制 进行 对 话 , 由 客户 机 向 服 
务 器 发 出 请 求 ,服务 器 在 进行 相应 的 处 理 后 经 传递 机 制 向 客户 机 返回 应 答 。 

2. C/S 结构 的 特点 

大 多 数 情况 下 ,C/S 结构 是 以 数据 库 应 用 为 主 , 即 业 务 数据 库 ( 如 Oracle、MS SQL、 
MySQL 等 ) 运 行 在 服务 器 端 ,而 数据 库 应 用 程序 运行 在 客户 端 。 基 于 这 一 特定 的 应 用 环 
境 ,C/S 结构 存在 如 下 优 缺点 : 
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(1) C/S 结构 的 主要 优点 。 

g@ 交互 性 强 。 在 C/S 结构 中 ,客户 端 运行 有 一 套 完 整 的 应 用 程序 ,大 量 的 业务 应 用 一 
般 在 客户 端 完 成 ,只 有 在 进行 数据 调用 和 写 人 时 才 与 服务 器 进行 交互 。 

@ 具有 较 强 的 数据 操纵 与 事务 处 理 能 力 。C/S 结构 通过 将 任务 合理 分 配 到 客户 端 和 
服务 器 端 ,降低 了 系统 对 网 络 带宽 的 占用 ,并 可 以 充分 利用 客户 机 和 服务 器 的 硬件 资源 。 

@ 可 有 效 保护 数据 的 安全 性 。 每 一 个 用 户 与 服务 器 之 间 采 用 点 对 点 通信 模式 ,可 采用 
安全 性 较 高 的 通信 协议 或 加 密 方 式 , 以 保护 数据 的 安全 性 。 

(2) C/S 结构 的 主要 缺点 。 

@ 可 扩展 性 较 差 。 当 因 系 统 功能 扩展 等 原因 需要 升级 系统 软件 时 ,将 同时 涉及 服务 器 
端 和 客户 端 ,而 且 还 会 造成 业务 的 中 断 ,系统 的 升级 和 维护 都 较 复杂 ,可 扩展 性 较 差 。 

@ 应 用 规模 受 限 。 随 着 网 络 规模 不 断 扩大 ,应 用 程序 的 复杂 度 越 来 越 高 ,客户 端 与 后 
台数 据 库 之 间 需 要 频繁 的 交换 数据 ,服务 器 容易 成 为 应 用 的 瓶颈 。 

目前 ,C/S 结构 一 般 应 用 于 用 户 群 相对 固定 、 对 数据 安全 要 求 相对 较 高 的 企业 内 部 业务 


5.1.2 B/S 结构 


随 着 Internet 的 迅速 普及 和 发 展 ,尤其 是 Web 技术 的 不 断 成 熟 和 应 用 领域 的 快速 拓 
展 ,传统 C/S 结构 存在 的 不 足 逐 渐 显现 ,导致 了 整个 互联 网 应 用 系统 体系 结构 从 C/S 主 从 
结构 向 更 加 灵活 的 B/S 多 级 分 布 式 结构 的 演进 。 

1. B/S 结构 的 实现 方法 

基于 B/S 结构 的 应 用 系统 由 前 端的 浏览 器 (Browser) 和 后 端的 服务 器 (Server) 组 成 , 数 
据 和 应 用 程序 都 存放 在 服务 器 上 ,浏览 器 是 一 种 通用 的 客户 端 软件 ,结合 多 种 脚本 请 言 ( 如 
VBScript、JavaScript 等 ) 和 Active X 等 技术 ,实现 了 原来 需要 复杂 的 专用 软件 才能 实现 的 
功能 。 在 C/S 结构 中 ,用 户 界面 完全 通过 Web 浏览 器 软件 (如 IE、Firefox、Chrome 等 ) 实 
现 , 一 部 分 事务 逻辑 在 前 端 实现 ,而 主要 事务 逻辑 在 服务 器 端 实现 。 客 户 端 利用 Web 浏览 
器 下 载 应 用 ,并 在 浏览 器 上 执行 和 显示 。 为 此 ,B/S 结构 是 对 传统 C/S 结构 的 发 展 和 演进 。 

如 图 5-1 所 示 , B/S 结构 是 由 表示 层 、 业 务 逻 辑 层 和 数据 层 组 成 的 典型 的 三 层 体系 结 
构 。 表 示 层 为 浏览 器 , 仅 承担 网 页 (page) 信 息 的 浏览 功能 ,以 HTML 实现 信息 的 浏览 和 输 
入 ,一 般 不 具备 业务 处 理 能 力 。 业 务 逻 辑 层 由 服务 器 承担 业务 处 理 逻辑 和 页 面 的 存储 管理 ， 
接收 客户 端 浏 览 器 的 任务 请 求 , 并 根据 请 求 类 型 执行 相应 的 事务 处 理 程 序 。 而 数据 层 由 数 
据 库 服务 器 承担 数据 处 理 逻辑 ,其 任务 是 接收 服务 器 对 数据 库 服务 器 提出 的 数据 操作 请 求 ， 
由 数据 库 服务 器 完成 数据 的 查询 ,修改 .统计 、 更 新 等 工作 ,并 将 数据 处 理 结果 提交 给 服 
务 器 。 

服务 器 端 由 Web 服务 器 软件 、Web 应 用 程序 及 后 端 数 据 库 构成 。Web 服务 器 (Web 
Server) 软 件 通常 被 称 为 HTTP 守护 程序 ,接收 Web 客户 端 对 资源 的 请 求 ,在 这 些 请 求 上 执 
行 一 些 基本 的 解析 处 理 以 确定 资源 是 否 存在 ,然后 将 结果 传送 给 Web 应 用 程序 来 执行 ,在 
Web 应 用 程序 执行 结束 并 返回 响应 时 ,Web 服务 器 再 将 这 个 响应 返回 给 Web 客户 端 。 浏 
览 器 使 用 HTTP/HTTPS 协议 ,HTML 语言 与 Web 服务 器 进行 交互 ,获取 Web 服务 器 上 
的 信息 和 应 用 程序 ,并 在 本 地 执行 、 浑 当 和 显示 。 
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图 5-1 B/S 的 三 层 (3-tiers) 体 系 结构 的 组 成 


Web 应 用 程序 (Web Application) 是 处 于 服务 器 端的 业务 逻辑 ,是 现代 Web 应 用 的 核 
心 。 早 期 静态 Web 应 用 程序 只 有 一 层 , 用 于 提供 客户 端 浏览 器 显示 的 页 面 。 随 着 Web 技 
术 的 发 展 , Web 应 用 程序 的 功能 越 来 越 强 大 ,同时 结构 也 越 来 越 复杂 ,出 现 了 多 层 (nrtiers) 
体系 结构 的 概念 。 
数据 库 也 称 为 后 台数 据 库 ,是 Web 应 用 程序 多 层 体 系 结构 的 最 后 一 层 。 目 前 ,典型 的 
后 台数 据 库 管理 系统 软件 主要 有 MS SQL、MySQL .Oracle 等 ,它们 都 支持 统一 的 数据 库 查 
询 语言 SQL。 随 着 互联 网 技术 的 发 展 ,数据 库 技术 实现 了 与 Web 技术 的 融合 ,促使 Web 应 
用 程序 从 早期 由 HTML 为 主体 的 静态 应 用 向 由 各 种 Web 应 用 技术 所 驱动 的 动态 应 用 的 转 
变 ,促进 了 支持 信息 检索 和 在 线 电 子 交易 等 Web 应 用 的 快速 发 展 。 
目前 ,在 具体 的 应 用 中 多 采用 如 图 5-2 所 示 的 由 B/S 和 C/S 组 成 的 混合 体系 结构 。 其 
中 ,类 似 于 信息 发 布 和 查询 等 满足 大 部 分 用 户 需 要 的 应 用 以 B/S 方式 实现 ,而 一 般 由 系统 
管理 员 负 责 的 后 台数 据 库 管理 与 系统 维护 等 操作 采用 C/S 结构 ,通过 ODBC 连接 。 该 结构 
充分 发 挥 了 B/S 结构 和 C/S 结构 的 优点 ,弥补 了 各 自 存 在 的 不 足 。 
六 
< 
SS 


数据 库 数据 库 管 理 
Web 浏 览 器 Web 服 务 器 应 用 程序 客户 端 
服务 器 


图 5-2 B/S 和 C/S 组 成 的 混合 体系 结构 








2. B/S 结构 的 特点 

(1) B/S 结构 的 主要 优点 。 

@ 统一 了 客户 端 应 用 软件 。B/S 客户 端 只 需要 安装 统一 的 浏览 器 软件 ,避免 了 C/S 结 
构 中 安装 功能 各 异 的 各 类 数据 库 客户 端 软件 和 应 用 软件 带 来 的 管理 和 维护 上 的 困难 。 

@ 易于 部 署 和 维护 。 由 于 客户 端 不 需要 安装 专用 软件 ,应 用 系统 的 升级 只 需要 考虑 服 
务 器 端 ,用 户 在 连接 到 服务 器 时 只 需要 下 载 更 新 就 可 以 实现 升级 ,大 大 降低 了 总 体 拥有 成 本 
(Total Cost of Ownership, TCO) 。 

@ 可 扩展 性 好 。 在 B/S 结构 中 ,Web 浏览 器 和 由 Web 站 点 (由 Web 服务 器 、Web 应 
用 程序 及 数据 库 所 构成 ) 之 间 的 通信 采用 了 标准 的 HTTP/HTTPS 协议 ,具有 良好 的 可 扩 
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展 性 。 

@ 信息 共享 度 高 。HTML 是 一 个 开放 的 标准 和 规范 , 它 通 过 标记 符号 来 标记 要 显示 
的 网 页 中 的 各 个 部 分 ,网 页 文件 通过 在 文本 文件 中 添加 标记 符 来 告诉 浏览 器 如 何 显示 其 中 
的 内 容 , 浏 览 器 按 顺 序 阅 读 网 页 文件 ,然后 根据 标记 符 解 释 和 显示 其 标记 的 内 容 。 这 种 模式 
提供 了 更 加 丰富 的 显示 内 容 和 便捷 的 信息 交互 方式 。 

(2) B/S 结构 的 主要 缺点 。 

@ 功能 受 限 。 由 于 浏览 器 只 是 为 了 进行 Web 浏览 而 设计 的 通用 客户 端 软件 ,而 对 部 
分 客户 端 需要 进行 的 在 线 大 数据 量 处 理 ( 如 数据 录入 、 特 殊 要 求 界面 的 显示 等 ) 等 功能 无 法 
实现 或 实现 起 来 较为 困难 。 

@ 复杂 的 应 用 构造 困难 。 虽 然 可 以 使 用 ActiveX Java 等 技术 开发 较为 复杂 的 应 用 ， 
但 是 实现 起 来 较为 复杂 。 

@ 安全 隐患 较 大 。 根 据 软件 任务 的 不 同 , 有 些 应 用 在 用 户 首次 访问 时 需要 通过 安装 
“插件 ”来 实现 ,这 为 计算 机 病毒 木马 等 恶意 代码 的 入 侵 提供 了 便利 条 件 。 另 外 ,在 应 用 系 
统 没 有 升级 到 HTTPS 协议 的 情况 下 ,HTTP 协议 在 传输 敏感 信息 时 存在 安全 隐患 。 


5.1.3 Web 应 用 安全 结构 概述 


结合 Web 应 用 体系 ,本 节 从 攻防 的 角度 提供 如 图 5-3 所 示 的 安全 结构 。 其 中 , Web 浏 
览 器 安全 主要 涉及 Web 浏览 器 软件 安全 、Web 用 户 安全 和 客户 端 操作 系统 安全 3 个 方面 。 
有 关 操 作 系 统 的 安全 在 第 2 章 和 第 3 章 已 经 进行 了 介绍 ,在 第 6 章 将 重点 介绍 Web 浏览 器 
软件 安全 和 Web 用 户 安全 两 部 分 内 容 。 








Web 浏 览 器 Web 服 务 器 
Web 浏 览 器 软件 安全 Web 数 据 安全 
Web 应 用 程序 安全 
Web 用 户 安全 网 络 安全 Web 服 务 器 软件 安全 








客户 端 操作 系统 安全 服务 器 操作 系统 安全 





5-3 Web 应 用 的 安全 结构 


Windows Server 和 Linux 是 目前 典型 的 两 款 Web 服务 器 操作 系统 ,从 整体 上 来 讲 ， 
Linux 的 安全 性 要 优 于 Windows Server, 但 两 类 操作 系统 同样 都 存在 着 远程 渗透 攻击 和 本 
地 渗透 攻击 等 安全 威胁 。 

严格 地 讲 , 涉 及 计算 机 网 络 安全 的 所 有 内 容 几 乎 都 适用 于 Web 应 用 环境 ,但 是 ,为 了 突 
出 Web 应 用 的 特点 ,下 面 重点 针对 HTTP 协议 自身 存在 的 安全 威胁 ,并 提出 相应 的 解决 办 
法 。 例 如 ,针对 HTTP 明文 传输 带 来 的 敏感 信息 被 监听 甚至 被 自 改 这 一 安全 威胁 ,可 通过 
对 重要 数据 (如 用 户 名 、 密 码 等 ) 进 行 加 密 ,或 者 直接 使 用 HTTPS 协议 等 方式 来 解决 。 针 对 
网 络 层 ,传输 层 和 应 用 层 存在 的 拒绝 服务 攻击 、 假 冒 身份 攻击 等 威胁 ,将 在 第 7 章 进行 介绍 。 

由 于 Web 应 用 的 安全 同时 涉及 客户 端 、 服 务 器 端 和 网 络 各 个 环节 ,每 一 个 环节 又 涉及 
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具体 的 细节 ,因此 ,Web 应 用 安全 是 一 个 同时 涉及 计算 机 网 络 、 操 作 系 统 、 应 用 程序 数据 库 
等 方面 的 复杂 的 安全 系统 。 本 章 重 点 讨论 Web 服务 器 的 安全 ,主要 包括 Web 数据 安全 、 
Web 应 用 程序 安全 、Web 服务 器 软件 安全 和 服务 器 操作 系统 安全 等 ,并 结合 具体 应 用 介绍 
相应 的 安全 防范 方法 。 


5.2 针对 Web 服务 器 的 信息 收集 


“知己 知 彼 , 百 战 不 殖 ”, 意 思 为 如 果 要 想 打 起 仗 来 不 会 有 和 危险 ,就 需要 事先 对 敌我 双方 
的 详细 情况 进行 全 面 的 了 解 和 分 析 。 攻 击 者 在 确定 了 攻击 对 象 后 ,只 有 在 实施 攻击 前 全 面 
掌握 被 攻击 Web 服务 器 的 详细 配置 信息 ,才能 从 中 发 现 可 利用 的 安全 漏洞 ,进而 确定 具体 
的 攻击 方法 。 


5.2.1 需要 收集 的 信息 内 容 


在 实施 攻击 之 前 或 攻击 过 程 中 需要 收集 的 信息 很 多 ,不 同 的 攻击 目标 需要 收集 的 信息 
侧重 点 也 不 尽 相 同 。 针 对 Web 服务 器 的 攻击 ,可 收集 的 信息 主要 包括 以 下 几 类 。 

(1) 地 址 信息 : 包括 服务 器 的 IP 地 址 .DNS 域名 .打开 的 端口 号 及 对 应 的 服务 进程 等 。 

(2) 系统 信息 : 包括 操作 系统 类 型 及 版 本 、Web 服务 器 软件 类 型 及 版 本 、Web 应 用 程序 
及 版 本 、Web 应 用 程序 的 开发 工具 及 版 本 、Web 应 用 程序 架构 (是 静态 HTML 页 面 ,还 是 
PHP、APS、JSP 动态 页 面 等 ) ,数据库 管 理 系统 的 类 型 及 版 本 等 。 

(3) 账户 信息 : 包括 操作 系统 的 登录 账户 .数据 库 管理 系统 的 账户 .应 用 系统 的 管理 账 
请 等 。 

(4) 配置 信息 : 包括 网 络 拓扑 结构 .地 址 映射 表 ( 当 Web 服务 器 位 于 内 部 局 域 网 中 使 用 
私有 IP 地 址 时 ) 、 服 务 配置 信息 、 共 享 资源 \ 防 火 墙 类 型 及 配置 信息 、 身 份 认证 与 访问 控制 方 
式 、 加 密 及 密码 管理 机 制 等 。 

(5) 其 他 信息 : 包括 安全 漏洞 (软件 漏洞 和 管理 漏洞 ) .DNS 注册 信息 ,网络 管 理 员 联系 
方式 等 。 


5.2.2 网 络 踩点 


针对 被 攻击 对 象 信息 的 收集 方法 和 途径 很 多 ,收集 信息 的 效率 和 效果 也 各 不 相同 。 本 
章 介绍 常用 的 3 类 方法 , 即 网 络 踩 点 、 网 络 扫描 和 网 络 查 点 。 

网 络 踩点 (footprinting) 是 指 攻 击 者 对 被 攻击 目标 进行 有 目的 .有 计划 ,分 步骤 的 信息 
收集 和 分 析 过 程 。 通 过 网 络 踩 点 可 以 掌握 被 攻击 目标 的 完整 信息 ,并 从 中 发 现存 在 的 安全 
隐患 ,为 进一步 实施 攻击 提供 帮助 。 网 络 踩点 常用 的 技术 分 为 Web 信息 收集 、 地 址 信息 查 
询 和 网 络 拓扑 探测 3 种 方式 。 

1. Web 信息 收集 

Web 信息 收集 是 利用 Web 搜索 引擎 提供 的 功能 ,对 被 攻击 目标 (组 织 或 个 人 ) 的 公开 
信息 进行 收集 并 发 现 为 进一步 实施 攻击 有 用 的 信息 。 对 于 攻击 者 来 说 ,从 互联 网 的 海量 信 
息 中 收集 与 攻击 目标 有 关 的 信息 ,是 一 种 最 为 直接 的 网 络 踩点 方法 ,强大 的 Web 搜索 引擎 
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可 以 帮助 攻击 者 实现 这 一 目的 。 

目前 ,Google、Baidu、Yahoo、Bing 等 搜索 引擎 都 提供 了 相应 的 信息 搜索 功能 ,综合 运用 
这 些 功 能 可 以 帮助 攻击 者 获得 所 需要 的 网 上 信息 。 例 如 ,利用 搜索 引擎 的 基本 搜索 功能 , 攻 
击 者 可 以 方便 地 找到 被 攻击 组 织 的 Web 主页 或 个 人 的 博客 等 信息 ,这 些 页 面 中 一 般 会 向 攻 
击 者 提供 大 量 的 有 用 信息 ,为 进一步 挖掘 相关 信息 提供 帮助 。 

由 于 每 一 种 搜索 引擎 都 存在 搜索 功能 、 范 围 和 效果 上 的 差异 性 ,因此 为 了 能 够 综合 不 同 
搜索 引擎 的 优势 进行 信息 的 收集 ,提出 了 * 元 搜索 引擎 ”的 概念 。 所 谓 元 搜索 引擎 ,又 称 为 集 
合 型 搜索 引擎 ,是 指 将 多 个 单一 搜索 引擎 集成 在 一 起 ,提供 统一 的 检索 接口 ,将 用 户 的 检索 
提问 同时 提交 给 多 个 独立 的 搜索 引擎 ,并 进一步 对 多 个 独立 搜索 引擎 的 检索 结果 进行 处 理 
(包括 去 重 ,排序 等 ) ,最 后 将 处 理 结果 提交 给 攻击 者 。 

2. 地 址 信息 查询 

MAC IP 和 DNS 是 互联 网 赖 以 运转 的 基础 ,其 中 MAC 地 址 标识 了 物理 设备 的 唯一 
性 ,IP 地 址 用 于 标识 互联 网 信息 节点 在 全 局 范围 内 的 位 置 ,而 DNS 实现 了 网 站 域名 与 IP 
地 址 之 间 的 映射 。 其 中 ,由 于 MAC 地 址 范围 的 局 限 性 ,其 使 用 中 的 地 址 信息 可 以 保存 在 所 
在 局 域 网 的 设备 数据 库 中 ,在 需要 时 经 授权 后 查询 ; 而 DNS 和 IP 地 址 的 相关 信息 都 保存 
在 互联 网 上 的 公共 数据 库 中 ,以 公开 方式 对 外 发 布 , 供 公 众 查询 。 

在 网 络 踩 点 中 多 采用 DNS 和 IP 查询 方法 。 利 用 DNS 和 IP 地 址 信息 ,攻击 者 可 以 获 
得 攻击 目标 的 互联 网 位 置信 息 及 相关 联 的 地 理 位 置信 息 。 例 如 ,利用 Whois 可 以 在 互联 网 
上 查询 到 DNS 注册 信息 ,一 般 包 括 注册 人 和 注册 商 的 详细 信息 ,通过 这 些 信息 便 可 以 获得 
注册 人 (单位 或 个 人 ) 的 具体 地 理 位 置 等 信息 。 又 如 ,利用 IP Whois 可 以 在 互联 网 查询 到 
DNS 注册 人 所 使 用 的 IP 地 址 .通信 地 址 、 联 系 电话 等 信息 。 有 了 这 些 信息 ,攻击 者 可 以 掌 
握 攻击 目标 的 网 络 空 间 和 社会 空间 信息 ,为 进一步 实施 物理 攻击 或 社会 工程 学 攻击 提供 
帮助 。 

3. 网 络 拓扑 探测 

网 络 折 扑 反映 了 网 络 中 各 信息 节点 之 间 的 关系 ,网 络 边界 如 何 部 署 , 内 部 网 络 如 何 组 
织 ,这 些 信息 都 会 反映 在 网 络 拓扑 中 。 尤 其 在 网 络 边 界 处 是 否 部 署 了 防火 墙 \.IDS、IPS、 网 
络 态势 感知 等 安全 系统 ,对 后 续 实 施 攻击 的 要 求 和 步骤 都 会 产生 非常 大 的 影响 。 

路 由 路 径 跟 踪 是 实现 网 络 拓扑 探测 的 主要 手段 ,Linux 操作 系统 中 的 traceroute 和 
Windows 环境 中 的 tracert 程序 分 别提 供 了 不 同 平台 上 的 路 由 路 径 跟 踪 功 能 。 两 者 的 实现 
原理 相同 ,都 是 用 TTL(IP 生存 时 间 ) 字 段 和 ICMP 错误 消息 来 确定 从 一 个 主机 到 网 络 上 其 
他 主机 的 路 由 ,从 而 确定 IP 数据 包 访问 目标 IP 所 采取 的 路 径 。 当 对 目标 网 络 中 的 不 同 主 
机 进行 相同 的 路 由 跟踪 后 ,攻击 者 就 可 以 综合 这 些 路 径 信息 ,绘制 出 目标 网 络 的 拓扑 结构 ， 
并 确定 关键 设备 在 网 络 拓扑 中 的 具体 位 置信 息 。 


5.2.3 网络 扫 描 


网 络 踩点 确定 的 是 攻击 目标 所 在 的 网 络 和 地 理 位 置 ,而 网 络 扫 描 则 针对 的 是 攻击 目标 
的 细微 信息 。 网 络 扫 描 (scanning) 是 网 络 攻 击 的 一 个 重要 环节 ,首先 通过 “主机 扫描 ”发 现 
攻击 目标 网 络 中 存在 的 活跃 主机 ,然后 通过 “端口 扫描 ” 找 出 活跃 主机 上 所 开放 的 端口 及 对 
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应 的 网 络 服务 ,接着 通过 “系统 类 型 探测 "确定 攻击 主机 的 操作 系统 类 型 及 版 本 号 ,最 后 通过 
“漏洞 扫描 ?找到 攻击 主机 上 存在 的 安全 漏洞 。 

1. 主机 扫描 

主机 扫描 (Host Scan) 是 指 通过 对 目标 网 络 (一般 为 一 个 或 多 个 IP 网 段 ) 主机 IP 地 址 
的 扫描 ,以 确定 目标 网 络 中 有 了 哪些 主机 处 于 运行 状态 。 主 机 扫描 的 实现 一 般 是 借助 于 
ICMP、TCP、UDP 等 协议 的 工作 机 制 , 来 探测 并 确定 某 一 主机 当前 的 运行 状态 。 

(1) 基于 ICMP 协议 的 扫描 方法 。ICMP(Internet Control Message Protocol, Internet 
控制 报 文 协议 ) 是 TCP/IP 协议 栈 的 网 际 层 提供 的 一 个 为 主机 或 路 由 器 报告 差错 或 异常 情 
况 的 协议 。PING(Packet InterNet Groper, 分 组 网 间 探测 ) 是 ICMP 的 一 个 重要 | 应 用 功 
能 , 它 是 应 用 层 直接 调用 网 际 层 ICMP 协议 的 一 个 特殊 应 用 ,通过 使 用 ICMP 回 送 请 求 与 回 
送 应 答 报 文 来 探测 两 台 主 机 之 间 网 络 的 连通 性 。 

目前 ,几乎 所 有 的 操作 系统 和 路 由 器 都 集成 了 PING 命令 。 如 果 要 知道 某 一 台 主 机 当 
前 是 否 处 于 运行 状态 ,最 简单 的 办 法 是 用 PING 命令 来 探测 A 目标 主机 之 间 的 网 络 
连通 性 是 否 正 常 。 例 如 ,如 果 要 知道 主机 www. sina. com. cn 是 否 处 于 运行 状态 ,只 需要 在 
命令 提示 符 下 运行 “ping www. sina. com. cn” 命 令 ， 根据 显示 信息 就 可 以 做 出 判断 ， 如 图 5-4 
所 示 。 




















Minimum = Bms, Maximum 


sers\fdministrator 














5-4 使 用 PING 命令 来 探测 目标 主机 是 否 处 于 运行 状态 


PING 命令 利用 了 ICMP 协议 中 的 Echo Request( 回 送 请 求 ) 报 文 进行 连通 性 探测 ,如 
果 目 标 主机 处 于 运行 状态 ,在 收 到 Echo Request 报 文 后 将 返回 Echo Reply( 回 送 应 答 ) 报 
文 ; 如 果 目 标 主机 存在 但 当前 未 处 于 运行 状态 , 则 返回 Echo Request Timed Out( 请 求 超 
时 ) 报 文 ; 如 果 目 标 主机 不 存在 , 则 返回 Destination Host Unreachable( 目 标 主机 不 可 达 ) 
报 文 。 

PING 命令 在 小 型 网 络 中 的 应 用 效果 较 好 ,但 由 于 需要 对 目标 主机 进行 逐一 探测 ,因此 
在 大 型 网 络 中 的 应 用 效率 较 低 。 另 外 , 当 目 标 主机 开启 了 防火 墙 (操作 系统 自 带 的 防火 墙 功 
能 ) 或 目标 主机 前 端 设置 了 防火 墙 ,并 启用 了 对 ICMP 报 文 的 过 滤 策 略 时 ,PING 命令 将 失 
去 功能 。 

(2) 基于 TCP 协议 的 主机 扫描 方法 。TCP(Transmission Control Protocol, 传输 控制 
协议 ) 是 一 种 面向 连接 的 、 可 靠 的 、 基 于 字 节 流 的 传输 层 通 信 协 议 。 每 一 个 TCP 通信 ,都 需 
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要 有 连接 建立 数据 传输 和 连接 释放 这 3 个 过 程 ,其 目的 是 让 通信 的 双方 都 知道 彼此 的 存 
在 ,并 通过 双方 协商 来 确定 具体 的 通信 参数 (如 缓存 大 小 、 连 接 表 中 的 项 目 、 最 大 窗口 值 等 )。 

TCP 连接 的 建立 采用 C/S 模式 , 且 要 通过 三 次 握手 过 程 ,具体 实现 过 程 如 图 5-5 所 示 。 
其 中 ,Client 主动 打开 连接 ,希望 与 Server 建立 TCP 连接 ,所 以 在 此 过 程 中 Server 是 被 动 
打开 连接 ,并 处 于 “监听 ”(LISTEN) 状 态 , 等 待 Client 的 连接 请 求 。 同 时 ,Client 的 客户 进 
程 和 Server 的 服务 器 进程 分 别 创建 了 TCB(Transmission Control Block, 传 输 控制 模块 )， 
用 于 存储 本 次 连接 中 的 一 些 重要 信息 ,如 TCP 连接 表 、 指 向 发 送 和 接收 缓存 的 指针 、 指 向 重 
传 队 列 的 指针 、 当 前 的 发 送 和 接收 序号 等 。 在 此 基础 上 ,Client 和 Server 将 开始 以 下 的 三 次 
握手 过 程 。 





Client Server 











CLOSED CLOSED 
= 全 =. | 
SYN- SYN=lseq-x __ LISTEN 

= 
一 X+1 
SENT SLACK=l se Yao ™ SYN- 
= RCVD 
ACK: ,seq=x+l,ack=y+1- 
ESTAB- 





LISHED ESTAB- 
数据 传输 LISHED 


图 5-5 TCP 连接 的 三 次 握手 过 程 




















第 一 次 握手 : Client 向 Server 发 送 一 个 连接 请 求 报 文 ,该 报 文 头 部 的 “同步 "(SYN) 字 
段 设置 为 1, 即 SYN=1, 同 时 选择 一 个 初始 序号 seq 二 x。 此 时 ,TCP 客户 端 进程 进入 “同步 
已 发 送 ”(SYN-SENT) 状 态 。 

第 二 次 握手 : Server 在 接收 到 请 求 报 文 后 ,如果 同意 建立 连接 , 则 向 Client 返回 一 个 确 
认 报 文 。 该 确认 报 文中 将 头 部 的 “确认 ”(ACK) 和 “同步 "(SYN) 字 有 段 都 设置 为 1, 确 认 号 为 
ack 一 x 十 1, 同 时 为 自己 选择 一 个 初始 序号 seq 二 y。 此 时 ,TCP 服务 器 进程 进入 “同步 收 到 ” 
(SYN-RCVD) 状 态 。 

第 三 次 握手 : Client 在 接收 到 Server 的 应 答 报 文 后 ,还 要 向 Server 进行 确认 。 该 确认 
报 文 头 部 的 “确认 ”(ACK) 字 段 设置 为 1, 确认 号 ack 一 y 十 1, 而 自己 的 序号 seq 一 x 十 1。 此 
时 ,TCP 连接 已 经 建立 ,Client 进入 “连接 已 建立 ”(ESTAB-LISHED) 状 态 。 当 Server 接收 
到 Client 的 确认 报 文 后 ,也 进入 “连接 已 建立 ”(ESTAB-LISHED) 状 态 。 

由 TCP 连接 的 建立 过 程 可 知 ,可 以 使 用 TCP 协议 的 ACK 和 SYN 功能 来 探测 主机 的 
运行 状态 , 即 针对 主机 的 ACK 扫描 和 SYN 扫描。 

其 中 ,在 三 次 握手 过 程 中 , ACK 表示 Server 对 Client 请 求 建立 的 确认 ,但 是 , 如果 
Client 根本 没有 进行 SYN 请 求 (第 一 次 握手 ) ,而 是 直接 进行 确认 (第 三 次 握手 ), Server 就 
会 认为 出 现 了 一 个 重要 的 错误 , 便 向 Client 发 送 一 个 头 部 “复位 ”(RST) 字 段 为 1 的 报 文 , 告 
诉 Client 必须 释放 本 次 连接 ,再 重新 建立 TCP 连接。 根据 该 工作 机 制 , 如 果 攻 击 者 向 目标 
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主机 发 送 一 个 只 有 ACK 的 报 文 , 当 接收 到 目标 主机 一 个 RST 反馈 报 文 时 ,就 可 以 确认 目 
标 主 机 的 存在 。 

另 一 种 是 利用 三 次 握手 过 程 ,针对 主机 的 SYN 扫描 。 如 果 目 标 主机 处 于 运行 状态 ,但 
主机 上 的 服务 器 进程 没有 打开 , 则 目标 主机 将 返回 一 个 RST 报 文 ; 如 果 目 标 主机 上 的 服务 
器 进程 处 于 “监听 ”LISTEN) 状 态 , 则 会 返回 一 个 第 二 次 握手 的 ACK/SYN 报 文 。 不 管 返 
回 哪 一 种 报 文 ,都 可 以 从 中 判断 目标 主机 的 当前 状态 。 

(3) 基于 UDP 协议 的 主机 扫描 方法 。UDP(User Datagram Protocol, 用 户 数 据 报 协 
议 ) 是 一 个 无 连接 (没有 提供 三 次 握手 过 程 ) 的 、 尽 最 大 努力 交付 (不 可 靠 ) 的 、 面 向 报 文 (保留 
了 报 文 的 边界 ) 的 传输 层 通信 协议 。 如 图 5-6 所 示 ,UDP 报 文 的 头 部 只 有 源 端 口 . 目 的 端 
口 .长 度 及 校 验 和 4 个 字段 ,每 个 字段 2 字 节 , 共 8 字 节 。 其 中 ,“ 源 端口 "只 有 在 需要 对 方 回 
复 时 才 选 用 ,不 需要 时 全 部 置 0;“ 目 的 端口 ” 供 在 目的 主机 上 交付 报 文 时 使 用 ,如 果 接 收 方 
的 UDP 发 现 收 到 的 报 文中 的 目的 端口 号 不 正确 (不 存在 该 端口 号 对 应 的 应 用 进程 ) ,就 会 
丢弃 该 报 文 ,并 由 ICMP 协议 向 发 送 方 返回 一 个 “端口 不 可 达 ” 的 差错 报 文 。 

字 节 4 4 | 全 
源 吓 地 址 目的 IP 地 址 
















2 2 2 0 ~65527 


y 源 端口 awn | kK 度 | 校 史 和 | 要 所 
! UDP 用 户 数 据 报头 部 一 一 一 | | 














IP 数 据 报 








IP 数 据 报 
5-6 UDP 用 户 数据 报 的 头 部 


基于 UDP 协议 的 工作 原理 ,攻击 者 可 以 向 一 个 开放 的 UDP 端口 发 送 一 个 带 有 “ 源 端 
口 ?的 报 文 ,或 者 向 一 个 未 开放 的 UDP 端口 发 送 一 个 无 法 交付 的 UDP 报 文 ,根据 返回 的 信 
息 就 可 以 判断 目标 主机 的 运行 状态 。 

2. 端口 扫描 

端口 扫描 (port scan) 是 对 正在 处 于 运行 状态 的 主机 使 用 的 TCP/UDP 端口 进行 探测 的 
技术 。 端 口 是 用 于 标识 计算 机 应 用 层 中 的 各 个 进程 在 与 传输 层 交互 时 的 层 间 接口 地 址 ,两 
台 计 算 机 间 的 进程 在 通信 时 ,不 仅 要 知道 对 方 的 IP 地 址 ,还 要 知道 对 方 的 端口 号 。 为 此 ,可 
以 将 端口 理解 为 进入 计算 机 应 用 进程 的 窗口 .在 TCP 和 UDP 协议 中 端口 用 16 位 表示 ,其 
值 为 0 一 65535。 传 输 层 的 端口 分 为 服务 器 端 使 用 的 端口 号 和 客户 端 使 用 的 端口 号 两 大 类 。 
其 中 ,服务 器 端 使 用 的 端口 号 又 分 为 两 类 : 一 类 称 为 熟知 端口 号 (Well Known Ports) 或 系 
统 端口 号 ,其 值 为 0 一 1023 ,可 以 在 http://www. iana. org 网 站 上 查 到 ; 另 一 类 称 为 登记 端 
口号 ,其 值 为 1024 一 49151 ,使 用 这 类 端口 时 需要 在 IANA(the Internet Assigned Number 
Authority, 互 联网 数字 分 配 机 构 ) 进 行 登记 ,以 防止 重用 。 客 户 端 使 用 的 端口 号 称 为 短暂 端 
口号 ,其 值 为 49152 一 65535, 仅 在 客户 进程 运行 时 临时 使 用 ,通信 结束 后 收回 。 
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由 于 TCP 协议 和 UDP 协议 可 以 使 用 相同 的 端口 号 (如 DNS 同时 使 用 了 TCP 53 和 
UDP 53 两 个 端口 号 ) ,因此 端口 扫描 需要 分 别针 对 TCP 和 UDP 协议 的 端口 号 进行 扫描 。 
同时 ,由 于 TCP 协议 要 比 UDP 协议 复杂 ,因此 TCP 端口 扫描 也 要 比 UDP 端口 扫描 复杂 。 
TCP 端口 扫描 包括 连接 (connect) 扫 描 、SYN 扫描 、TCP 窗口 扫描 、FIN 扫描 ,ACK 扫描 等 ， 
下 面 主要 介绍 TCP 的 连接 扫描 和 SYN 扫描 ,以 及 UDP 端口 扫描 。 

(1) 连接 扫描 。 如 图 5-5 所 示 ,攻击 者 (扫描 主机 ) 通 过 系统 调用 connect() 函 数 ,可 以 与 
目标 主机 的 每 个 端口 尝试 通过 三 次 握手 建立 TCP 连接 ,在 攻击 者 发 起 连接 请 求 ( 第 一 次 握 
手 ) 后 ,如 果 目 标 主机 上 对 应 的 端口 打开 , 则 返回 一 个 第 二 次 握手 的 ACK/SYN 报 文 ， 
connect() 调 用 将 再 发 送 一 个 ACK 确认 报 文 以 完成 第 三 次 握手 。 如 果 目 标 端口 是 关闭 的 ， 
那么 目标 主机 将 会 直接 返回 一 个 RST 报 文 。 基 于 此 工作 原理 ,通过 分 析 不 同 目 标 端 口 的 返 
回报 文 信息 ,攻击 者 就 可 以 判断 哪些 端口 是 开放 或 关闭 的 。 该 方法 实现 简单 ,但 目标 主机 上 
会 记录 相关 的 尝试 连接 信息 ,容易 被 系统 管理 员 或 安全 检测 工具 发 现 。 

(2) SYN 扫描 。SYN 扫描 也 称 为 半 开 连接 扫描 ,是 对 连接 扫描 的 一 种 改进 。 在 连接 扫 
描 方法 中 , 当 被 扫描 端口 打开 时 ,目标 主机 会 返回 一 个 SYN/ACK 报 文 。 当 攻击 者 收 到 第 
二 次 握手 的 SYN/ACK 报 文 时 ,其 实 不 需要 进行 第 三 次 ACK 握手 ,就 已 经 能 够 判断 出 被 扫 
描 端 口 当 前 处 于 打开 状态 。 不 过 ,将 目标 主机 (Server) 向 TCP 连接 请 求 者 (Client) 返 回 
SYN/ACK 报 文 后 ,将 处 于 “ 半 开 连接 ”状态 ,等 待 请 求 者 的 ACK 确认 ,以 便 完成 第 三 次 握 
手 过程 。 此 时 ,攻击 者 并 没有 向 目标 主机 返回 ACM 确认 报 文 ,而 是 构造 了 一 个 RST 报 文 ， 
让 目标 主机 释放 该 “ 半 开 连接 ”。 

由 于 各 类 操作 系统 一 般 不 会 记录 “ 半 开 连接 ”信息 ,因此 SYN 扫描 的 安全 性 要 比 连接 
扫描 好 。 

(3) UDP 端口 扫描 。UDP 端口 扫描 用 于 探测 目标 主机 上 打开 的 UDP 端口 和 网 络 服 
务 。UDP 端口 扫描 的 实现 原理 是 : 首先 构造 并 向 目标 主机 发 送 一 个 特殊 的 UDP 报 文 ,如 
果 被 扫描 的 UDP 端口 关闭 ,将 返回 一 个 基于 ICMP 协议 的 “端口 不 可 达 ” 差 错 报 文 ; 如 果 被 
扫描 的 UDP 端口 处 于 打开 状态 ,处 于 “监听 ”状态 的 UDP 网 络 服务 将 响应 一 个 特殊 格式 的 
数据 报 文 ,并 返回 UDP 数据 。 

UDP 端口 扫描 的 实现 原理 简单 ,效率 较 高 。 但 是 ,如 果 被 探测 的 网 络 服务 是 一 个 未 知 
的 应 用 时 ,就 可 能 无 法 返回 UDP 数据 。 

3. 系统 类 型 探测 

通过 主机 扫描 和 端口 扫描 ,可 以 确定 被 攻击 目标 使 用 的 IP 地 址 及 开放 的 端口 。 在 此 基 
础 上 ,还 需要 对 被 攻击 主机 所 使 用 的 操作 系统 类 型 和 具体 的 版 本 号 及 提供 的 网 络 服务 进行 
探测 ,为 攻击 者 下 一 步 选择 具体 的 攻击 方法 并 实施 具体 的 攻击 做 好 准备 。 系 统 类 型 探测 分 
为 操作 系统 类 型 探测 和 网 络 服务 类 型 探测 两 种 类 型 。 

(1) 操作 系统 类 型 探测 。 操 作 系 统 类 型 探测 (OS Identification) 是 通过 采取 一 定 的 技术 
手段 ,通过 网 络 远程 探测 目标 主机 上 安装 的 操作 系统 类 型 及 其 版 本 号 的 方法 。 在 确定 了 操 
作 系统 的 类 型 和 具体 版 本 号 后 ,可 以 为 进一步 发 现 安全 漏洞 和 渗透 攻击 提供 条 件 。 

协议 栈 指纹 分 析 (stack fingerprinting) 是 一 种 主流 的 操作 系统 类 型 探测 手段 ,其 实现 原 
理 是 在 不 同类 型 和 不 同 版 本 的 操作 系统 中 ,网 络 协议 栈 的 实现 方法 存在 着 一 些 细微 的 区 别 ， 
这 些 细微 区 别 就 构成 了 该 版 本 操作 系统 的 指纹 信息 。 通 过 创建 完整 的 操作 系统 协议 栈 指 纹 
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信息 库 ,将 探测 或 网 络 嗅 探 所 得 到 的 指纹 信息 在 数据 库 中 进行 比 对 ,就 可 以 精确 地 确定 其 操 
作 系 统 的 类 型 和 版 本 号 。 

(2) 网 络 服务 类 型 探测 。 网 络 服务 类 型 探测 (service identification) 的 目的 是 确定 目标 
主机 上 打开 的 端口 及 该 端口 上 绑 定 的 网 络 应 用 服务 类 型 及 版 本 号 。 通 过 网 络 服务 类 型 探 
测 ,可 以 进一步 确定 目标 主机 上 和 运行 的 网 络 服务 及 服务 进程 对 应 的 端口 。 

操作 系统 类 型 探测 主要 依赖 于 TCP/IP 协议 栈 的 指纹 信息 , 它 涉及 网 络 层 、 传 输 层 、 应 
用 层 等 各 层 的 信息 ,而 网 络 服 务 类 型 探测 主要 依赖 于 网 络 服务 在 应 用 层 协 议 实 现 所 包含 的 
特殊 指纹 信息 。 例 如 ,同样 是 在 应 用 层 提供 HTTP 服务 的 Apache 和 IIS, 两 者 在 实现 
HTTP 协议 规范 时 的 具体 细节 上 存在 一 些 差异 ,根据 这 些 差异 就 可 以 辨别 出 目标 主机 的 
TCP 80 端口 上 运行 的 HTTP 服务 是 通过 Apache 实现 的 ,还 是 通过 IIS 实现 的 。 

nmap 提供 了 强大 的 系统 类 型 探测 功能 ,可 以 精确 地 探测 出 目标 主机 的 操作 系统 类 型 
及 版 本 号 ,以 及 网 络 服务 类 型 和 版 本 号 。 图 5-7 是 利用 nmap 工具 对 一 台 内 部 主机 进行 探 
测 后 显示 的 信息 ,显示 的 内 容 包括 主机 名 、 开 放 的 端口 及 版 本 号 .操作 系统 类 型 及 版 本 号 等 
信息 。 





nmap -sV -T4 -O -F --version-light 172.17.200.27 





Starting Nmap 7.79 ( https://nmap.org ) at 2918-95-91 16:19 ?D16zex?E+2? 
Nmap scan report for www.jspi-cn (172.17.299.27) 
Host is up (96.912s latency). 


PORT STATE ”SERVICE VERSION 


22/tcp open ssh OpenSSH 4.3 (protocol 2-9) 

30/tcp open http Apache Tomcat/Coyote JSP engine 1.1 
111/tcp open rpcbind 

135/tcp filtered msrpc 


139/tcp filtered netbios-ssn 

445/tcp filtered microsoft-ds 

8669/tcp open ajp13 Apache Jserv (Protocol v1.3) 
Device type: Reneral purpose 

Running: Linux 2.6.X 

0S CPE: cpe:/0:1inux:1inux_kernel:2.6 

0S details: Linux 2.6.9 - 2.6.27 


0S and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . 
Nmap done: 1 IP address (1 host up) scanned in 22.69 seconds 








图 5-7 nmap 工具 对 目标 主机 系统 类 型 进行 探测 的 结果 


5.2.4 漏洞 扫描 


漏洞 扫描 是 一 种 通过 扫描 方式 发 现 目 标 网 络 或 特定 主机 上 存在 已 知 安全 漏洞 的 技术 手 
段 。 漏 洞 扫描 是 网 络 扫描 的 最 后 一 个 环节 ,也 是 整个 攻击 过 程 中 最 关键 的 一 个 环节 。 漏 洞 
扫描 的 目的 是 探测 并 发 现 目标 网 络 中 特定 主机 上 运行 的 操作 系统 、 网 络 服务 与 应 用 程序 中 
存在 的 安全 漏洞 ,并 根据 已 确定 的 漏洞 来 选择 相应 的 渗透 工具 ,实施 对 目标 主机 的 渗透 
攻击 。 

1. 漏洞 扫描 的 原理 

漏洞 扫描 除 用 于 网 络 攻 击 外 ,还 用 于 对 网 络 的 安全 防御 。 系 统管 理 员 通过 对 网 络 漏洞 
的 系统 扫描 ,全 面 地 了 解 网 络 的 安全 现状 ,并 对 发 现 的 安全 漏洞 及 时 安装 补丁 程序 ,提升 网 
络 的 安全 性 。 

漏洞 扫描 技术 的 工作 原理 是 基于 目标 对 象 (操作 系统 、 网 络 服务 .应 用 程序 等 ) 的 特征 码 
来 实现 的 。 例 如 ,对 于 同一 个 类 型 和 版 本 号 的 操作 系统 来 说 ,针对 某 一 安全 漏洞 ,对 于 某 些 
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网 络 请 求 的 应 答 ,安装 安全 补丁 前 后 会 存在 一 些 细微 的 差异 ,这些 差异 便 构成 了 针对 特定 安 
全 漏洞 的 特征 码 (指纹 信息 ) 。 漏 洞 扫描 技术 正 是 利用 了 这 些 特 征 码 来 识别 目标 对 象 是 否 存 
在 特定 的 安全 漏洞 。 

2. 漏洞 扫描 器 

网 络 漏洞 扫描 器 对 目标 系统 进行 漏洞 检测 时 ,首先 探测 目标 网 络 中 的 存活 主机 ,再 对 存 
活 主机 进行 端口 扫描 ,确定 系统 已 打开 的 端口 ,同时 根据 协议 栈 指 纹 技 术 识 别 出 主 机 的 操作 
系统 类 型 。 然 后 ,扫描 器 对 开放 的 端口 进行 网 络 服 务 类 型 的 识别 ,确定 其 提供 的 网 络 服务 。 
漏洞 扫描 器 根据 目标 系统 的 操作 系统 平台 和 提供 的 网 络 服务 ,调用 漏洞 资料 库 ( 一 般 该 资料 
库 需要 与 业界 标准 的 CVE 保持 兼容 ) 中 已 知 的 各 种 漏洞 进行 逐一 检测 ,通过 对 探测 响应 数 
据 包 的 分 析 判 断 是 否 存在 漏洞 。 

现 有 的 网 络 漏洞 扫描 器 主要 是 利用 特征 匹配 的 原理 来 识别 各 种 已 知 的 漏洞 。 扫 描 器 发 
送 含有 某 一 漏洞 特征 探测 码 的 数据 包 , 根 据 返回 数据 包 中 是 否 含有 该 漏洞 的 响应 特征 码 来 
判断 是 否 存在 漏洞 。 因 此 ,只 要 在 研究 了 各 种 漏洞 ,知道 不 同 漏洞 的 探测 特征 码 和 响应 特征 
码 后 就 可 以 利用 软件 来 实现 对 各 种 已 知 漏洞 的 模拟 。 漏 洞 扫描 器 一 般 由 以 下 几 部 分 组 成 。 

(1) 安全 漏洞 数据 库 。 该 数据 库 一 般 与 CVE(Common Vulnerabilities and Exposures， 
通用 漏洞 披露 目录 ) 保 持 兼 容 ,主要 包含 安全 漏洞 的 具体 信息 ,漏洞 扫描 评估 的 脚本 ,安全 漏 
洞 危害 评分 (一 般 采 用 CVSS 通用 漏洞 分 组 评价 体系 标准 ) 等 信息 ,新 的 安全 漏洞 被 公开 后 ， 
数据 库 需 要 及 时 更 新 。 其 中 ,CVSS(Common Vulnerability Scoring System, 通 用 漏洞 评分 
系统 ) 是 一 个 开放 的 并 且 能 够 被 产品 厂商 免费 采用 的 标准 。 

(2) 扫描 引擎 模块 。 作 为 漏洞 扫描 器 的 核心 部 件 ,扫描 引擎 模块 可 以 根据 用 户 在 配置 
控制 台 上 所 设 定 的 扫描 目标 和 扫描 方法 ,对 用 来 扫描 网 络 的 请 求 数据 包 进行 装配 与 发 送 , 并 
将 从 目标 主机 接收 到 的 应 答 包 与 漏洞 数据 库 中 的 漏洞 特征 码 进行 比 对 ,以 判断 目标 主机 上 
是 否 存在 这 些 安全 漏洞 。 为 了 提高 效率 ,扫描 引擎 模块 一 般 提供 了 主机 扫描 、 端 口 扫描 、 操 
作 系 统 扫 描 、 网 络 服务 探测 等 功能 , 供 具体 扫描 时 根据 需要 选用 。 

(3) 用 户 配 置 控 制 台 。 供 用 户 进行 扫描 设置 的 操作 窗口 ,要 扫描 的 目标 系统 、 要 检测 的 
具体 漏洞 等 信息 都 可 以 通过 配置 控制 台 来 设置 。 

(4) 扫描 进程 控制 模块 。 为 了 让 使 用 者 更 加 直观 地 了 解 扫描 过 程 的 进展 情况 ,漏洞 扫 
描 器 都 会 提供 扫描 进程 控制 模块 ,为 以 显示 当前 扫描 进程 任务 的 进展 情况 。 

(5) 结果 存储 与 报告 生成 模块 。 根 据 漏 洞 扫描 结果 自动 生成 扫描 报告 ,告知 用 户 从 哪 
些 目标 系统 上 发 现 了 哪些 安全 漏洞 。 


5.2.5 网 络 查 点 


通过 网 络 踩 点 ,攻击 者 可 以 确定 目标 对 象 的 网 络 位 置 及 个 人 或 组 织 的 相关 信息 ; 通过 
网 络 扫描 ,攻击 者 可 以 发 现 目标 网 络 中 处 于 运行 状态 的 主机 、 主 机 上 运行 的 操作 系统 及 网 络 
服务 的 类 型 与 版 本 号 ,并 通过 漏洞 扫描 发 现 目 标 对 象 存在 的 安全 漏洞 。 这 些 信 息 为 实施 网 
络 渗透 攻击 提供 了 依据 。 但 是 ,对 于 一 次 具体 的 攻击 过 程 来 说 ,在 实施 渗透 攻击 之 前 ,还 需 
要 系统 地 分 析 已 经 发 现 的 弱点 ,对 于 已 经 识别 出 来 的 系统 安全 漏洞 和 服务 还 要 进行 更 充分 
和 有 针对 性 的 探测 ,以 便 从 中 找到 可 以 攻击 的 入口 。 在 攻击 过 程 中 ,还 需要 提供 哪些 数据 和 
辅助 工具 ,也 需要 事先 做 好 准备 。 为 此 .将 网 络 踩 点 和 网 络 扫 描 之 后 ,具体 实施 渗透 攻击 之 
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前 ,所 做 的 准备 工作 称 为 网 络 查 点 (enumeration ) 。 

网 络 踩点 一 般 是 通过 一 些 常用 的 技术 和 工具 ,在 目标 网 络 外围 进 行 的 信息 收集 行为 。 
而 网 络 :要 对 目标 系统 进行 的 主动 连接 与 查询 。 从 攻击 者 的 角度 来 看 ,网 络 查 点 要 比 
网 络 踩点 的 人 侵 程 度 深 , 而 且 网 络 查 点 行为 可 能 会 记 和 人 系统 日 志 , 并 触发 人 侵 检 测 系统 的 报 
警 。 网 络 扫描 侧重 于 攻击 者 在 较 大 范围 内 搜索 ,发现 和 确定 攻击 目标 ,而 网 络 查 点 则 是 有 针 
对 性 地 收集 攻击 目标 的 详细 信息 。 例 如 ,用 户 账 户 、 网 络 服务 程序 类 型 和 版 本 号 、 错 误 或 不 
当 的 系统 配置 等 ,这 些 看 似 并 不 重要 的 信息 ,一旦 被 恶意 利用 将 会 成 为 攻击 者 的 利器 。 在 得 
到 了 用 户 账户 名 后 可 以 通过 口令 破解 来 获得 对 应 的 密码 ,在 确定 了 网 络 服务 程序 类 型 和 版 
本 号 后 就 可 以 进一步 发 现 安全 漏洞 并 准备 渗透 工具 ,错误 或 不 当 的 配置 为 恶意 程序 上 传 提 
供 了 有 效 途 径 。 

针对 一 些 网 络 协议 的 工作 原理 ,利用 相关 的 工具 远程 探测 并 获取 信息 是 网 络 查 点 常用 
的 方法 。HTTP、FTP、SMTP、POP、SNMP 等 广泛 使 用 的 网 络 协议 ,在 使 用 相关 的 工具 时 
都 会 不 同 程度 地 暴露 出 一 些 有 关 服 务 器 端的 配置 信息 。 例 如 ,Telnet 是 大 部 分 操作 系统 和 
网 络 设备 都 支持 的 远程 登录 与 管理 工具 , 除 此 之 外 ,还 可 以 用 来 连接 人 采用 明文 传输 协议 
的 网 络 服务 。 图 5-8 是 利用 Windows 操作 系统 提供 的 Telnet 工具 尝试 连接 www. sina. 
com. cn 80 时 返回 的 信息 ,从 中 可 以 看 到 服务 器 类 型 “Server:nginxsServer: nginxs”, 即 
www. sina. com. cn 的 Web 网 站 使 用 的 是 nginxs 服务 器 。 




































国 管理 员 : C\Windows\system32\cemd.exe 


HTTP/1.1 499 






































5-8 ”使 用 Telnet 工具 查看 www. sina. com. cn 80 的 Web 服务 器 


NetBIOS 是 局 域 网 中 使 用 的 一 个 非 路 由 协议 ,其 服务 包括 名 字 服 务 (UDP 137) ,会 话 服 
务 (TCP 139/445) 和 数据 报 服 务 (UDP 138)。 在 由 Windows 操作 系统 环境 所 组 成 的 局 域 
网 中 ,BetBIOS 名 字 服 务 提供 了 计算 机 名 与 IP 地 址 之 间 的 名 字 解 析 ( 类 似 于 互联 网 中 的 
DNS) 。Windows 操作 系统 提供 的 nbtstat 工具 可 以 连接 到 指定 的 计算 机 远程 查看 其 
NetBIOS 名 称 表 , 包 括 计算 机 名 、 当 前 登录 用 户 和 运行 的 网 络 服务 (针对 于 Windows Server 
版 本 )、 网 卡 的 MAC 地 址 等 ,如 图 5-9 所 示 。 

Windows 环境 中 的 SMB(Server Message Block ,服务 器 信息 块 ) 是 NetBIOS 会 话 服务 
使 用 的 用 于 进行 文件 与 打印 共享 的 协议 。 当 用 户 在 局 域 网 中 设置 打印 机 或 目录 共享 时 要 用 
到 SMB 协议 ,而 早期 Windows 版 本 中 的 SMB 协议 在 使 用 中 很 不 安全 ,尤其 是 未 经 认证 的 
用 户 也 可 以 访问 操作 系统 的 默认 隐蔽 共享 (包括 逻辑 盘 符 C$ 、D $ 等 ,系统 目录 winnt 或 





第 5 章 Web 服务 器 的 攻防 163 








加 六 于 大 命令 提示 符 ee x 


5C-86-BF-@B 




















5-9 使 用 nbtstat 工具 查看 BetBIOS 远程 计算 机 名 称 表 





windows 共享 admin$ 、 进 程 间 通信 IPC 共享 IPC $ 等 ) ,这 些 默认 共享 为 网 络 查 点 提供 了 
非常 丰富 的 信息 ,所 以 SMB 会 话 服务 存在 较 大 的 安全 隐患 。 


5.2.6 针对 Web 服务 器 信息 收集 的 防范 方法 


针对 Web 服务 器 的 网 络 踩 点 、 网 络 扫描 和 网 络 查 点 等 信息 收集 攻击 ,可 通过 以 下 方法 
进行 必要 的 防范 。 

1. 针对 网 络 踩点 的 防范 方法 

由 于 网 络 踩点 攻击 的 目的 是 利用 各 类 已 有 的 工具 和 平台 ,从 中 收集 与 攻击 目标 相关 的 
信息 ,然后 对 这 息 进 行 系统 分 析 , 从 而 确定 攻击 目标 的 网 络 位 置 . 单 位 或 个 人 信息 等 内 
容 ,为 进一步 实施 网 络 攻击 提供 基础 信息 服务 。 因 此 ,针对 网 络 踩点 的 有 效 防范 措施 是 加 强 
单位 或 个 人 隐私 的 保护 。 将 凡是 不 想 让 别人 知道 的 信息 都 作为 个 人 隐私 进行 有 效 保护 ,有 
些 信息 在 单独 出 现时 可 能 不 会 对 隐私 构成 威胁 ,但 是 当 出 现在 不 同时 间 和 位 置 的 多 条 信息 
在 进行 了 有 效 关 联 后 ,有 可 能 会 将 某 人 或 单位 的 隐私 暴露 出 来 。 

大 数据 技术 的 成 熟 和 广泛 应 用 ,结合 网 络 怜 虫 技术 ,使 网 络 踩点 攻击 的 实施 越 来 越 容 
易 ,而 防御 越 来 越 困 难 。 对 于 用 户 来 说 ,应 养 成 良好 的 上 网 习惯 ,不 轻 意 在 网 上 保留 与 个 人 
或 单位 相关 的 信息 ,如 果 发 现 应 尽快 清除 。 随 着 网 络 实名 制 的 推行 及 一 些 在 线 信息 查询 系 
统 的 使 用 ,对 于 用 户 信息 的 保护 提出 了 新 的 要 求 ,从 防范 网 络 踩点 攻击 的 角度 ,可 在 不 违反 
相关 管理 制定 的 前 提 下 ,应 尽 可 能 少 地 提供 用 户 的 真实 信息 。 

2. 针对 网 络 扫描 的 防范 方法 

针对 网 络 扫 描 攻击 中 的 主机 扫描 ,可 使 用 位 于 主机 前 端 (如 网 关 处 ) 的 网 络 入 侵 检测 系 
统 或 运行 在 主机 上 的 监测 扫描 软件 来 探测 网 络 中 发 生 的 攻击 行为 ,然后 过 滤 掉 正在 发 生 的 
攻击 报 文 , 如 许多 个 人 防火 墙 软件 都 提供 了 对 ICMP、TCP、UDP 等 报 文 的 扫描 和 检测 功 
能 。 目 前 ,针对 主机 扫描 的 防范 较为 困难 ,因为 大 量 的 扫描 报 文 可 以 绕 过 防火 墙 等 安全 设 
备 。 但 通过 网 络 安全 产品 制定 严格 的 安全 访问 策略 是 防范 主机 扫描 攻击 的 一 种 有 效 方法 。 
以 防火 墙 应 用 为 例 ,网 络 管理 员 可 以 对 进入 网 络 的 ICMP 报 文 进行 细致 的 评估 ,然后 通过 对 
防火 墙 上 的 ACL(Access Control List, 防 火 控制 列表 ) 的 配置 ,决定 哪些 ICMP 报 文 可 以 进 
入 哪些 网 段 , 如 只 人 允许 ICMP Echo Reply( 回 送 应 答 )、Echo Request Timed Out (请求 超 
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时 )、Destination Host Unreachable (目标 主机 不 可 达 ) 等 响应 报 文 进入 防火 墙 的 DMZ 
(Demilitarized Zone, 非 军事 区 ) 网 段 并 到 达 特 定 的 主机 ,而 其 他 的 ICMP 报 文 将 被 拦截 。 

针对 TCP 协议 的 主机 和 端口 扫描 ,最 有 效 的 防范 方法 是 在 防火 墙 等 安全 设备 或 主机 上 
关闭 不 需要 的 端口 。 系 统管 理 员 可 以 在 网 络 中 部 署 端口 扫描 监测 工具 来 主动 探测 网 络 中 正 
在 发 生 的 针对 端口 或 系统 服务 的 攻击 行为 ,再 有 针对 性 地 进行 系统 加 固 ,防范 针对 主机 端口 
和 系统 类 型 探查 的 攻击 。 

针对 漏洞 扫描 攻击 ,最 直接 的 防范 方法 是 在 安全 漏洞 和 不 安全 配置 在 被 攻击 者 发 现 之 
前 已 经 被 封 墙 。 系 统管 理 员 可 以 通过 漏洞 扫描 工具 定期 扫描 网 络 中 的 主机 ,发 现 安全 漏洞 
后 及 时 安装 补丁 程序 ,如 果 发 现 不 安全 配置 或 安全 弱点 可 及 时 进行 调整 。 

3. 针对 网 络 查 点 的 防范 方法 

针对 网 络 查 点 的 攻击 行为 ,可 以 通过 以 下 方法 进行 防范 。 

(1) 关闭 不 需要 的 网 络 服务 。 一 些 缺 乏 安全 意识 和 经 验 的 网 络 管理 员 在 部 署 网 络 应 用 
系统 时 多 采用 系统 默认 的 安装 和 配置 方法 ,一 些 不 需要 的 网 络 服务 会 自动 安装 和 启用 , 留 下 
了 安全 隐患 。 为 此 ,系统 管理 员 应 坚持 系统 服务 的 最 少 开放 原则 ,在 不 影响 应 用 功能 的 前 提 
下 ,关闭 不 需要 的 网 络 服务 ,防止 不 必要 的 网 络 访问 。 

(2) 加 强 网 络 服务 的 安全 配置 。 在 确定 了 系统 中 运行 的 网 络 服务 后 ,需要 对 其 安全 性 
进行 配置 。 例 如 ,针对 FTP 服务 ,应 根据 不 同 用 户 类 型 限制 其 访问 方式 ,防止 某 些 用 户 无 限 
制 地 上 传 文件 ; 禁用 系统 默认 口令 ,避免 使 用 弱 口 令 ; 禁用 一 些 很 可 能 造成 用 户 信息 泄露 
的 服务 功能 等 。 

(3) 使 用 安全 性 高 的 网 络 协议 。 在 不 影响 应 用 功能 的 前 提 下 , 尽 可 能 使 用 安全 性 较 高 
的 网 络 协议 。 例 如 ,使 用 安全 加 密 的 SSH(Secure Shell) 协 议 来 替代 使 用 明文 传输 的 Telnet 
协议 实现 对 系统 的 远程 配置 ,针对 FTP 服务 可 以 在 众多 的 软件 中 选用 安全 性 较 高 的 软 
件 等 。 


5.3 Web 数据 的 攻防 


Web 数据 主要 包括 保存 在 后 台数 据 库 中 的 数据 和 Web 客户 端 以 表单 形式 提交 的 数 
据 ,这 些 数 据 存在 着 被 窃取 、 算 改 及 非法 注入 的 威胁 。 


5.3.1 针对 敏感 数据 的 攻防 


针对 敏感 数据 的 攻击 是 近年 来 最 常见 的 、 最 具 影响 力 的 一 种 攻击 方式 。 在 针对 敏感 数 
据 的 攻击 中 ,攻击 者 不 是 直接 攻击 密码 ,而 是 在 传输 过 程 中 或 从 客户 端 (如 Web 浏览 器 ) 窃 
取 密 钥 发 起 中 间 人 攻击 ,或 者 从 服务 器 端 窃取 明文 数据 。 

1. 敏感 数据 的 定义 

个 人 信息 是 用 来 直接 或 间接 识别 自然 人 情况 的 数据 资料 , 它 被 认为 具有 特殊 风险 ,从 而 
通常 受到 特殊 保护 。 将 个 人 信息 划分 为 个 人 一 般 信息 与 敏感 信息 (特殊 信息 、 特 殊 数 据 ), 对 
个 人 敏感 信息 应 坚持 “使 用 限制 原则 ”和 “安全 保护 原则 ”。 其 中 ,使 用 限制 原则 是 指 个 人 数 
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据 不 应 该 被 披露 和 公开 使 用 ,除非 在 数据 主体 同意 及 法 律 授 权 情 况 下 才能 公开 ; 安全 保护 
原则 是 指 个 人 资料 应 采取 合理 的 安全 保护 措施 ,以 防止 资料 的 丢失 非法 接触 毁损、 利用、 
修改 和 泄露 等 危险 的 发 生 。 

在 Web 应 用 环境 中 ,由 于 系统 配置 上 的 不 当 , 或 者 使 用 者 缺乏 必要 的 安全 意识 ,导致 敏 
感 信息 出 现在 Web 站 点 上 。 通 常情 况 下 ,这 些 信息 包括 大 量 的 个 人 敏感 信息 (Personal 
Identifiable Information ,PID ,如 个 人 的 身份 证 号 码 、 联 系 方式 、 银 行 信 用 卡 账号 、 医 疗 记录 
等 。 另 外 ,还 包括 员工 通讯 录 、 重 要 会 议 记录 、 重 要 技术 资料 等 涉及 单位 的 敏感 信息 ,其 至 涉 
及 国家 或 企业 秘密 的 信息 等 。 

针对 敏感 数据 ,最 常见 的 漏洞 是 不 对 敏感 数据 进行 加 密 处 理 。 在 数据 加 密 过 程 中 ,最 常 
见 的 问题 是 不 安全 的 密 钥 生成 和 管理 ,以 及 使 用 弱 加 密 算法 、 弱 协议 和 弱 密 码 。 特 别 是 使 用 
弱 的 Hash 函数 来 保护 密码 。 例 如 ,一 个 应 用 程序 使 用 自动 加 密 系 统 加 密 信用 卡 信息 ,并 存 
储 在 数据 库 中 。 但 是 , 当 数 据 被 检索 时 会 被 自动 解密 ,这 就 使 得 SQL 注入 漏洞 能 够 以 明文 
形式 获得 所 有 信用 卡 的 信息 。 又 如 ,密码 数据 库 使 用 未 加 入 盐 值 (salt) 的 Hash 算法 或 弱 
Hash 算法 来 存储 每 个 用 户 的 密码 。 一 个 文件 上 传 漏洞 使 攻击 者 能 够 获取 密码 文件 ,所 以 
这 些 未 加 入 盐 值 (salt) 的 Hash 密码 就 可 以 通过 彩虹 表 来 暴力 破解 。 

2. 敏感 数据 的 保护 方式 

对 于 互联 网 应 用 中 产生 和 使 用 的 海量 数据 ,首先 需要 确认 哪些 属于 敏感 数据 需要 进行 
加 密 保 护 。 对 于 已 经 确定 的 敏感 数据 ,还 需要 针对 不 同 的 保护 要 求 和 应 用 环境 来 确认 使 用 
什么 样 的 保护 方式 ,主要 包括 以 下 几 点 。 

(1) 在 数据 传输 过 程 中 是 否 使 用 明文 传输 ,这 与 选择 所 使 用 的 传输 协议 相关 ,如 
HTTP、SMTP、FTP 等 。 

(2) 当 数 据 被 长 期 存储 时 ,无 论 存储 在 哪里 ,它们 是 否 都 被 加 密 , 是 否 包含 备份 数据 。 

(3) 无 论 默 认 条 件 还 是 在 源 代码 中 ,是 否 还 在 使 用 一 些 陈旧 的 或 脆弱 的 加 密 算法 。 

(4) 是 否 使 用 默认 加 密 密 钥 ,生成 或 重复 使 用 脆弱 的 加 密 密 钥 , 或 者 缺少 恰当 的 密 钥 管 
理 或 密 钥 回 转 。 

(5) 是 否 强制 加 密 敏 感 数据 ,如 用 户 代理 (如 Web 浏览 器 ) 指 令 和 传输 协议 是 否 被 
加 密 。 

(6) 用 户 代 理 ( 如 应 用 程序 .邮件 客户 端 等 ) 是 否 未 验证 服务 器 端 证 书 的 有 效 性 。 

在 确定 了 敏感 数据 的 保护 要 求 后 ,可 以 采取 以 下 方式 进行 保护 。 

(1) 对 系统 处 理 、 存 储 或 传输 的 数据 分 类 ,根据 分 类 进行 访问 控制 。 

(2) 熟悉 与 敏感 数据 保护 相关 的 法 律 和 条 例 ,并 根据 每 项 法 规 要 求 保护 敏感 数据 。 

(3) 对 于 不 需要 保存 的 重要 敏感 数据 ,应 当 尽 快 清除 。 

(4) 确保 存储 的 所 有 敏感 数据 被 加 密 。 

(5) 确保 使 用 了 最 新 的 、 强 大 的 加 密 算法 或 密码 参数、 协议 和 密 匙 ,并 且 能 够 安全 规范 
地 对 密 钥 进行 管理 。 

(6) 确保 传输 过 程 中 的 数据 被 加 密 , 如 采用 TLS/SSL。 确 保 数据 加 密 被 强制 执行 ,如 
使 用 HTTP 严格 安全 传输 (HTTP Strict Transport Security,HSTS) 协 议 。 

(7) 禁止 缓存 对 包含 敏感 数据 的 响应 。 
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3. Web 服务 器 端 敏感 数据 的 泄露 和 防御 方式 

在 Web 应 用 环境 中 ,敏感 信息 一 般 可 以 通过 目录 遍历 和 错误 的 配置 等 途径 或 方式 被 泄 
露 ,可 以 有 针对 性 地 采取 相应 的 防御 方式 。 

(1) 目录 遍历 。 由 于 发 布 Web 网 站 的 Web 服务 器 配置 不 当 , 可 能 导致 存放 Web 网 站 
信息 的 目录 存在 遍历 漏洞 。 目 录 遍 历 (路 径 遍 历 ) 是 由 于 Web 服务 器 或 者 Web 应 用 程序 对 
用 户 输入 的 文件 名 称 的 安全 性 验证 不 足 而 导致 的 一 种 安全 漏洞 ,使 得 攻击 者 通过 利用 一 些 
特殊 字符 就 可 以 绕 过 服务 器 的 安全 限制 ,访问 任意 的 文件 (还 可 以 是 Web 根 目录 以 外 的 文 
件 ) ,甚至 执行 系统 命令 。 

目录 遍历 漏洞 被 利用 的 原理 是 程序 在 实现 上 没有 充分 过 滤 用 户 输入 的 类 似 于 “../” 的 
目录 跳 转 符 , 导 致 恶意 用 户 可 以 通过 提交 目录 跳 转 来 遍历 服务 器 上 的 任意 文件 。 例 如 ,正常 
读 取 文件 的 URL 为 “http://www. abc. com/text. jsp? file 二 xyz. html”, 而 恶意 URL 输入 
可 以 设置 为 *http://www.abc. com/text. jsp? file=../../Windows. system. ini”。 

对 上 面 遍 历 攻 击 的 防范 方法 有 以 下 几 种 。 

@ 对 用 户 的 输入 进行 验证 ,特别 是 路 径 车 代 字符 *../”。 

@ 尽 可 能 采用 白 名 单 的 形式 来 验证 所 有 的 用 户 输入 。 

@ 合理 配置 Web 服务 器 的 目录 权限 。 

@ 程序 出 错时 ,不 要 显示 内 部 相关 细节 。 

(2) 上 传 目 录 配 置 错误 。Web 网 站 一 般 都 需要 通过 FTP 方式 远程 上 传 数据 或 更 新 程 
序 , 由 于 配置 上 的 不 当 , 攻 击 者 可 以 查看 、 修 改 或 删除 存放 Web 网 站 所 在 目录 中 的 文件 。 攻 
击 者 也 可 以 在 发 起 攻击 之 前 远程 探测 FTP 服务 器 软件 的 类 型 和 版 本 号 ,为 进一步 确定 安全 
漏洞 并 实施 渗透 攻击 提供 基础 信息 。 例 如 , 当 用 户 连 接管 理 Web 网 站 目录 的 FTP 服务 器 
时 ,出 现 了 如 下 提示 信息 。 





ftp172.16.32.105 

Connected to 172.16.32.105 

220 - Serv 一 U FTP Server v15.1.6 for WinSock ready... 
220 S TERM 


从 这 条 连接 信息 中 ,攻击 就 可 以 清楚 地 知道 FTP 服务 器 使 用 的 是 Serv-U v15. 1. 6 
软件 。 

在 使 用 FTP 服务 来 远程 管理 Web 网 站 目录 时 ,出 于 安全 考虑 ,需要 注意 以 下 几 个 方面 
的 问题 。 

@ 未 经 授权 的 用 户 禁 止 在 Web 服务 器 上 进行 任何 FTP 操作 ,包括 查看 Web 网 站 目录 
下 的 信息 。 

@ FTP 用 户 只 允许 访问 经 系统 管理 员 授 权 的 目录 和 文件 。 

@ 未 经 允许 ,FTP 用 户 不 能 在 服务 器 上 创建 文件 或 目录 。 

@ 提供 翔实 的 FTP 用 户 访问 日 志 信息 。 

为 了 防止 部 分 Web 网 站 管理 人 员 没 有 对 安全 问题 引进 足够 的 重视 ,可 以 从 系统 配置 上 
强化 安全 管理 。 以 Linux 下 的 FTP 服务 为 例 , 可 以 从 以 下 几 个 方面 强化 安全 设置 。 

O@ 除 匿名 用 户 之 外 的 其 他 所 有 FTP 用 户 账户 必须 添加 在 “/etc/passwd” 文 件 中 ,并 且 
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口令 不 能 为 空 。 在 没有 正确 输入 用 户 名 和 口令 的 情况 下 ,服务 器 拒绝 访问 。 

@@“/etc/FTPusers” 是 FTP 守护 进程 FTPd 使 用 的 一 个 文件 ,如 果 将 某 一 用 户 的 账号 
添加 在 该 文件 中 ,在 使 用 对 应 的 账号 登录 时 ,FTP 服务 器 将 拒绝 。 该 功能 相当 于 建立 用 户 
访问 的 黑 名 单 , 可 以 将 存在 安全 风险 的 登录 账号 添加 在 该 文件 进行 管理 。 

@ 当 以 “anonymous” 或 “FTP” 作 为 用 户 名 、 以 用 户 的 互联 网 电子 邮件 地 址 作为 保密 字 
进行 匿名 登录 时 ,FTP 服务 器 的 “/etc/passwd” 文 件 中 需要 添加 “FTP” 用 户 账 号 ; 否则 FTP 
服务 器 不 接受 匿名 FTP 连接 。 出 于 安全 考虑 ,可 以 禁用 匿名 FTP 登录 。 

(3) 泄露 敏感 数据 。 不 管 是 出 于 技术 或 非 技术 原因 ,由 于 缺乏 安全 意识 ,在 Web 网 站 
上 可 能 会 出 现 有 关 个 人 隐私 、 企 业 商业 秘密 ,甚至 是 国家 机 密 。 对 于 可 能 出 现在 Web 网 站 
上 的 敏感 信息 ,可 以 采用 技术 手段 在 发 布 之 前 进行 过 滤 。 也 可 以 通过 安全 管理 制度 ,对 需要 
在 Web 网 站 上 发 布 的 信息 进行 审核 。 尤 其 是 对 于 提供 留言 .回复 或 发 帖 等 功能 的 Web 网 
站 ,一 定 要 通过 技术 手段 进行 不 良 信息 的 过 滤 ,并 通过 审核 制度 严 把 不 良 、. 不 实 甚 至 是 违法 
信息 的 传播 。 更 要 从 技术 上 防止 Web 网 站 被 攻击 者 控制 后 ,上 传 一 些 非法 或 不 良 信息 。 


5.3.2 网 站 算 改 


网 站 算 改 (Website Defacement) 是 一 类 出 现 较 早 且 经 常 发 生 的 网 络 攻击 形式 ,是 一 类 
不 以 谋求 经 济 利益 为 目的 网 络 攻 击 行为 。 

网 站 算 改 是 指 攻击 者 在 成 功 和 人 侵 网 站 发 布 服务 器 并 控制 了 对 Web 网 站 目录 的 操作 权 
限 后 ,用 预先 编写 好 的 带 有 攻击 意图 的 页 面 替换 掉 原 网 站 页 面 ( 一 般 为 主页 面 ) ,从 而 实现 攻 
击 者 预谋 的 一 种 恶意 攻击 行为 。 

近年 来 , 随 着 信息 化 进程 的 快速 推进 ,政府 机 关 学校、 企业 等 单位 几乎 都 在 互联 网 上 创 
建 了 自己 的 门户 网 站 ,用 于 宣传 或 重要 信息 的 发 布 。 单 位 的 门户 网 站 是 向 用 户 提 供 各 类 信 
息 的 重要 渠道 和 窗口 ,也 成 为 黑客 和 人 侵 的 主要 目标 之 一 。 网 站 存在 的 安全 漏洞 很 容易 被 不 
法 分 子 利用 ,进行 页 面 自 改 以 达到 传播 反动 .淫秽 色情 等 内 容 的 目的 ,影响 用 户 正 常 获 取信 
息 的 方式 ,并 对 网 站 拥有 者 造成 很 大 的 负面 影响 。 

网 站 主页 被 直接 算 改 是 最 常见 的 一 种 针对 网 络 算 改 的 攻击 方式 。 网 站 主页 被 直接 算 
改 , 需 要 利用 网 站 存在 的 漏洞 侵入 网 站 空间 ,然后 对 网 站 主页 文件 进行 修改 或 替换 。 近 年 
来 ,一 些 重 要 网 站 被 人 侵 的 事件 频 发 ,网 站 主页 被 算 改 成 赌博 、 色 情 和 政治 敏感 内 容 等 ,不 但 
损害 了 网 站 拥有 者 的 形象 ,而 且 对 用 户 使 用 带 来 了 极 大 的 不 便 甚至 是 失去 了 信任 。 例 如 ， 
2013 年 5 月 12 日 ,一 个 只 有 16 岁 的 江西 高 中 生 在 入侵 了 兰州 大 学 宣传 部 网 站 后 ,在 主页 
上 挂 了 十 几 条 以 “尊敬 的 兰 大 领导 老师 你 们 好 ”为 标题 的 短文 ,强调 向 往 兰州 大 学 的 信息 安 
全 专业 ,恳求 学 校 给 自己 一 个 学 习 机 会 ,为 中 国 网 络 贡 献 自 己 的 力量 。 又 如 ,2013 年 5 月 24 
日 ,有 网 友 在 微 博 称 在 埃及 卢 克 索 神 庙 的 浮雕 上 看 到 *…… 到 此 一 游 ”? 几 个 字 , 并 称 “ 我 们 试 
图 用 纸巾 控 掉 这 羞耻 ,但 很 难 擦 干净 ,这 是 三 千 五 百年 前 的 文物 呀 ”。 因 为 此 事 , 该 生 所 在 学 
校 的 网 站 于 当月 26 日 被 黑 。 打 开 该 学 校 网 站 后 ,最 先 显 示 的 是 “到 此 一 游 ” 的 弹出 窗口 , 单 
击 “ 确 定 ” 按 钮 后 才能 显示 正常 内 容 。 

诸如 此 类 安全 事件 ,近年 来 发 生 的 很 多 。 由 此 说 明 ,即使 是 学 校 和 政府 机 关 等 重要 网 站 
的 安全 形势 也 非常 严峻 ,网 站 安全 建设 亟待 加 强 。 网 站 被 算 改 一 般 可 以 分 为 以 下 3 种 类 型 。 

来 自 境外 黑客 的 以 各 种 政治 和 宗教 为 目的 的 算 改 攻击 ,主要 针对 对 象 是 政府 和 知名 
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高 校 的 网 站 。 攻 击 成 功 后 ,黑客 会 在 被 攻 下 的 网 站 上 留 下 一 些 宣传 不 同宗 教 信仰 和 政治 立 
场 的 文字 和 图 片 。 

@ 攻击 者 以 炫耀 技术 为 目的 ,攻击 成 功 后 一 般 会 留 下 一 些 调侃 的 文字 或 图 片 。 

加 以 经 济 利益 为 目的 ,主要 针对 的 是 政府 和 知名 高 校 网 站 ,其 目的 是 通过 加 入 黑 链 以 
获得 较 高 的 搜索 引擎 权重 。 

针对 网 站 被 直接 算 改 ,只 能 加 强 对 网 站 空间 的 安全 管理 ,包括 对 网 站 服务 器 、 网 站 远程 
管理 账号 、 网 站 开发 程序 的 安全 管理 等 。 


5.4 Web 应 用 程序 的 攻防 


一 个 Web 应 用 程序 是 由 完成 特定 任务 的 各 种 Web 组 件 (web components) 构 成 的 ,在 
实际 应 用 中 ,Web 应 用 程序 是 由 多 个 Servlet(server applet) JSP 页 面 .HTML 文件 及 图 像 
文件 等 组 成 的 ,所 有 这 些 组 件 相互 协调 为 用 户 提供 一 组 完整 的 服务 。 


5.4.1 Web 应 用 程序 安全 威胁 


由 于 开发 一 个 Web 应 用 程序 时 ,需要 涉及 需求 分 析 、 设 计 、 选 择 架 构 、 开 发 和 发 布 等 环 
节 , 每 一 个 环节 考虑 不 周 ,都 可 能 留 下 安全 隐患 。 例 如 ,在 选择 开发 架构 时 ,可 以 在 ASP 
. NET、PHP、Python、Ruby on Rails 等 方案 中 选择 ,每 一 种 架构 不 存在 绝对 的 安全 或 不 安 
全 ,关键 是 在 满足 功能 需求 的 前 提 下 ,开发 人 员 要 能 够 熟悉 其 安全 上 的 薄弱 环节 并 进行 
加 固 。 

Web 应 用 程序 是 目前 Web 服务 中 安全 性 最 为 脆弱 的 一 个 组 成 部 分 。 相 比 于 底层 的 操 
作 系 统 .主流 应 用 软件 和 网 络 服务 ,由 于 Web 应 用 程序 的 开发 门槛 相对 较 低 , 大 量 Web 网 
站 的 编码 质量 相对 不 高 ,而 且 在 正式 上 线 发 布 之 前 并 未 进行 安全 性 测试 ,这 就 导致 许多 
Web 应 用 程序 中 存在 不 同 程度 的 安全 隐患 。 同 时 , Web 应 用 程序 的 复杂 性 和 实现 方式 上 的 
多 样 性 也 是 导致 安全 问题 频 发 的 关键 因素 。 

针对 复杂 的 Web 应 用 程序 安全 问题 ,由 安全 专家 ,行业 顾问 和 诸多 组 织 的 代表 组 成 的 
国际 团体 WASC(Web Application Security Consortium, Web 应 用 安全 联合 威胁 分 类 ) 于 
2010 年 发 布 的 WASC Threat Classification 2.0 报告 中 ,将 Web 应 用 所 受到 的 威胁 、 攻 击 
进行 了 说 明 ,并 归纳 成 具有 共同 特征 的 分 类 ,如 表 5-1 所 示 。 


表 5-1 WASC 团队 报告 的 安全 威胁 分 类 列表 

















攻击 类 型 脆弱 性 说 明 
利用 Web 站 点 自身 的 特性 和 功能 来 使 用 .蒙骗 或 阻挠 访问 控制 机 制 的 一 种 攻击 
功能 滥用 方法 
暴力 攻击 使 用 尝试 或 错误 来 猜测 个 人 的 用 户 名 、 密 码 、 信 用 卡 账 号 或 密 钥 的 过 程 
缓冲 区 溢出 通过 覆盖 部 分 内 存 来 改变 应 用 程序 流 的 攻击 方式 
也 些 内 容 合 音 = 
内 容 电子 欺骗 | 法 且 不 是 来 自 外 部 源 的 一 种 
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续 表 
攻击 类 型 脆弱 性 说 明 
是 一 种 操纵 或 假冒 Web 站 点 用 户 的 方法 。 推 断 或 猜测 识别 特定 会 话 或 用 户 的 
ER 
唯一 值 ,以 完成 攻击 行为 
跨 站 脚本 (XSS) 是 强制 Web 站 点 回 传 攻 击 者 提供 的 可 执行 代码 (加 载 在 用 户 浏 
ee 览 器 中 ) 的 一 种 攻击 方法 。 受 跨 站 脚本 影响 的 用 户 账户 可 能 会 受 操纵 (cookie 次 
用 ) ,其 浏览 器 可 能 会 重 定向 到 其 他 位 置 ,或 者 可 能 显示 用 户 正在 访问 的 Web 站 
点 所 提供 的 欺骗 性 内 容 
拒绝 服务 拒绝 服务 (DoS) 是 旨 在 阻止 Web 站 点 为 正常 用 户 活动 提供 服务 的 一 种 攻击 方法 
上 自动 目录 列表 /索引 是 一 项 服务 器 功能 ,在 没有 普通 基本 文件 (index. html/ 


home. html/default. htm) 的 情况 下 ,该 功能 会 列 出 所 请 求 目录 中 的 所 有 文件 
格式 化 字符 串 攻 击 | 会 使 用 字符 串 格式 化 库 功能 来 访问 其 他 内 存 空间 ,以 改变 应 用 程序 流 

指 Web 站 点 显示 可 能 会 协助 攻击 者 攻击 系统 的 敏感 数据 (如 开发 者 注释 或 错误 
信息 泄露 消息 ) 
抗 自动 化 能 力 不 足 “| 指 Web 站 点 准许 攻击 者 将 应 当 仅 手 动 执行 的 过 程 自 动 化 
有 指 Web 站 点 准许 攻击 者 访问 敏感 内 容 或 功能 而 未 对 其 访问 许可 权 进 行 适当 
认证 不 充分 认证 
权限 不 足 指 Web 站 点 准许 访问 应 当 需 要 提高 访问 控制 限制 的 敏感 内 容 或 功能 
不 充分 处 理 验证 指 Web 站 点 准许 攻击 者 绕 过 或 回避 计划 的 应 用 程序 流量 控制 
指 Web 站 点 准许 攻击 者 复 用 旧 会 话 凭 证 或 会 话 标识 以 进行 授权 。 会 话 有 效 期 
































A 
相生 不 足 将 增加 Web 站 点 受 攻击 (窃取 或 假冒 其 他 用 户 ) 的 可 能 性 
LDAP 注 人 是 一 种 攻击 方法 , 它 通过 用 户 提供 的 输入 来 构造 LDAP(Lightweight Directory 
Access Protocol, 轻 量 级 目录 访问 协议 ) 控 制 语句 ,从 而 攻击 Web 站 点 
| , 它 通过 行 要 » b 
二 A 它 通过 操纵 应 用 程序 输入 来 执行 操作 系统 命令 ,从 而 攻击 We 
路 径 遍 历 路 径 遍历 攻击 方法 会 强制 访问 可 能 位 于 文档 根 目录 外 的 文件 目录 和 命令 。 





是 用 于 显示 隐藏 Web 站 点 内 容 和 功能 的 一 种 攻击 方法 。 通 过 有 根据 的 猜测 ,就 
可 预测 资源 位 置 可 以 知道 攻击 是 强行 搜索 ,以 查找 不 打算 供 公共 查看 的 内 容 。 临 时 文件 、 备 份 文 
件 ,配置 文件 和 样本 文件 这 些 示 例 ,都 是 潜在 的 剩余 文件 
会 话 固定 该 攻击 方法 会 强制 赋予 用 户 的 会 话 标 识 一 个 确定 值 
是 一 种 攻击 方法 , 它 从 由 用 户 提供 的 输入 构造 SQL 语句 (Structured Query 
Language, 结 构 化 查询 语言 ) ,从 而 攻击 Web 站 点 
SSI(Server Side Includes ,服务 器 端 包含 ) 注 入 是 一 种 服务 器 端 攻击 方法 ,该 方法 
允许 攻击 者 将 代码 发 送 到 随后 将 由 Web 服务 器 在 本 地 执行 的 应 用 程序 

弱 密 码 恢复 验证 指 Web 站 点 准许 攻击 者 非法 获取 、 更 改 或 恢复 其 他 用 户 的 密码 

XPath 注入 是 一 种 攻击 方法 , 它 从 由 用 户 提供 的 输入 构造 XPath 查询 ,从 而 攻击 Web 站 点 








SQL 注入 





SSI 注 和 











另 一 个 Web 应 用 安全 领域 知名 的 开放 研究 团队 OWASP (Open Web Application 
Security Project, Web 应 用 程序 安全 项 目 ) 在 对 普遍 和 流行 的 安全 隐患 进行 长 期 跟踪 研究 
中 ,于 2017 年 公布 了 OWASP Top 10 2017 ,其 中 有 10 项 最 严重 的 Web 应 用 程序 安全 风 
险 , 如 表 5-2 所 示 ( 其 中 , 排 在 表格 最 前 面 的 安全 风险 等 级 最 高 ) 。 
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表 5-2 OWASP Top 10 2017 中 确定 的 10 项 最 严重 的 Web 应 用 程序 安全 风险 


安全 风险 说 明 

将 不 受信 任 的 数据 作为 命令 或 查询 的 一 部 分 发 送 到 解析 器 时 ,会 产生 如 SQL 注 
注入 入 、NoSQL 注入.OS 注 和 和 LDAP 注入 的 注入 缺陷 。 攻 击 者 的 恶意 数据 可 以 诱 
使 解析 器 在 没有 适当 授权 的 情况 下 执行 非 预期 命令 或 访问 数据 

通常 通过 错误 使 用 应 用 程序 的 身份 认证 和 会 话 管 理 功能 ,攻击 者 能 够 破译 密码 、 
密 钥 或 会 话 令 牌 ,或 者 利用 其 他 开发 缺陷 来 冒充 其 他 用 户 的 身份 

攻击 者 可 以 通过 窃取 或 修改 未 加 密 的 数据 来 实施 信用 卡 诈骗 .身份 盗窃 或 其 他 
敏感 信息 泄露 犯罪 行为 。 未 加 密 的 敏感 数据 容易 受到 破坏 ,因此 ,需要 对 敏感 数据 加 密 , 这 些 
数据 包括 传输 过 程 中 的 数据 ,存储 的 数据 及 浏览 器 的 交互 数据 

攻击 者 可 以 利用 外 部 实体 窃取 使 用 URI 文 件 处 理 器 的 内 部 文件 和 共享 文件 、 监 
听 内 部 扫描 端口 .执行 远程 代码 和 实施 拒绝 服务 攻击 

攻击 者 可 以 利用 安全 缺陷 ,使 用 未 经 授权 的 应 用 功能 或 访问 未 经 授权 的 数据 ,如 
访问 其 他 用 户 的 账户 ,查看 敏感 文件 .修改 其 他 用 户 的 数据 更改 访问 权限 等 
安全 配置 错误 是 最 常见 的 安全 问题 ,这 通常 是 由 于 不 安全 的 默认 配置 不 完整 的 
临时 配置 .开源 云 存储 、 错 误 的 HTTP 头 部 配置 及 包含 敏感 信息 的 详细 错误 信 
息 所 造成 的 。 因 此 ,不 仅 需 要 对 所 有 的 操作 系统 ,框架 、 库 和 应 用 程序 进行 安全 
配置 ,而 且 必须 及 时 修补 存在 的 安全 漏洞 ,并 及 时 升级 程序 

当 应 用 程序 的 新 网 页 中 包含 不 受信 任 的 、 未 经 恰当 验证 或 转 义 的 数据 时 ,或 者 使 
用 可 以 创建 HTML 或 JavaScript 的 浏览 器 API 更 新 现 有 的 网 页 时 ,就 会 出 现 
XSS 缺陷 。XSS 让 攻击 者 能 够 在 受害 者 的 浏览 器 中 执行 脚本 ,并 劫持 用 户 会 话 、 
破坏 网 站 或 将 用 户 重 定向 到 恶意 站 点 

把 对 象 转换 为 字 节 序列 的 过 程 称 为 对 象 的 序列 化 ,把 字 节 序列 恢复 为 对 象 的 过 
程 称 为 对 象 的 反 序列 化 。 不 安全 的 反 序列 化 会 导致 远程 代码 执行 。 即 使 反 序列 
化 缺陷 不 会 导致 远程 代码 执行 ,攻击 者 也 可 以 利用 它们 来 执行 攻击 ,包括 重播 攻 
击 、 注 和 攻击 和 特权 升级 攻击 

组 件 ( 如 库 \ 框 架 和 其 他 软件 模块 ) 拥 有 和 应 用 程序 相同 的 权限 。 如 果 应 用 程序 
使 用 含有 已 知 漏洞 的 | 中 含有 已 知 漏洞 的 组 件 被 攻击 者 利用 ,可 能 会 造成 严重 的 数据 丢失 或 服务 器 接 
组 件 管 。 同 时 ,使 用 含有 已 知 漏洞 的 组 件 的 应 用 程序 和 API 可 能 会 破坏 应 用 程序 防 
御 、 造 成 各 种 攻击 并 产生 严重 影响 

不 足 的 日 志 记 录 和 | 不 足 的 日 志 记录 和 监控 ,以 及 事件 响应 缺失 或 无 效 的 集成 ,使 攻击 者 能 够 进一步 
监控 攻击 系统 \ 保 持 持续 性 或 转向 更 多 系统 ,以 及 算 改 ,提取 或 销毁 数据 








失效 的 身份 认证 








XML 外 部 实体 (XXE) 





失效 的 访问 控制 





安全 配置 错误 





跨 站 脚本 (XSS) 





不 安全 的 反 序列 化 











5.4.2 SQL 注入 漏洞 


动态 网 页 技术 在 丰富 了 Web 页 面 表现 形式 和 应 用 功能 的 同时 , 因 其 后 台数 据 库 在 技术 
自身 和 具体 应 用 中 存在 的 一 些 不 足 , 为 Web 网 站 的 安全 带 来 了 一 些 隐患 。SQL 注入 (SQL 
Injection) 便 是 近年 来 最 受 关注 的 一 类 针对 Web 站 点 的 网 络 攻击 类 型 。 

1. 注入 攻击 的 概念 

几乎 任何 数据 源 都 能 成 为 注入 载体 ,这 些 数据 源 包括 环境 变量 .所 有 类 型 的 用 户 、 参 数 、 
外 部 和 内 部 Web 服务 等 。 当 攻击 者 向 解释 器 发 送 恶意 数据 时 ,注入 漏洞 产生 。 目 前 ,注入 
漏洞 的 存在 非常 广泛 ,通常 存在 于 SQL、LDAP、XPath( 或 NoSQL) 查 询 语句 、OS 命令 、 
XML 解析 器 .SMTP 报 文 头 部 、 表 达 式 语句 及 ORM(Object Relational Mapping, 对 象 关系 
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映射 ) 查 询 语句 中 ,所 以 常见 的 注入 有 SQL 注入 、OS 命令 注入 .ORM 注入 、LDAP 注入 、EL 
(Expression Language, 表达 式 语言 ) 注 入 、OGNL(Object Graphic Navigation Language, 对 
象 图 导航 语言 ) 注 入 。 注 入 攻击 轻 则 导致 数据 丢失 ,破坏 或 泄露 给 无 授权 方 , 重 则 导致 主机 
被 完全 接管 。 注 入 主要 由 以 下 原因 产生 。 

(1) 用 户 提 供 的 数据 没有 经 过 应 用 程序 的 验证 、 过 滤 或 净化 。 

(2) 动态 查询 语句 或 非 参数 化 的 调用 ,在 没有 上 下 文 感知 转 义 的 情况 下 ,被 用 于 解 
释 器 。 

(3) 在 ORM 搜索 参数 中 使 用 了 恶意 数据 ,这 样 搜索 将 获得 包含 敏感 或 未 授权 的 数据 。 

(4) 恶意 数据 直接 被 使 用 或 连接 ,如 SQL 语句 或 命令 在 动态 查询 语句 、 命 令 或 存储 过 
程 中 包含 结构 和 恶意 数据 。 

在 众多 的 注入 攻击 中 ,SQL 注入 是 目前 最 常见 .影响 范围 最 广 的 一 种 攻击 方式 。 为 此 ， 
下 面 重点 以 SQL 注入 攻击 为 例 , 介 绍 其 实现 原理 方法 .过 程 及 相应 的 防范 方法 。 

2. SQL 注入 的 概念 

SQL(Structured Query Language, 结 构 化 查询 语言 ) 是 一 种 最 常 使 用 的 用 于 访问 Web 
数据 以 及 进行 Web 数据 查询 、 更 新 和 管理 的 数据 库 查 询 和 程序 设计 语言 ,是 实现 Web 客户 
端 与 数据 库 服 务 器 信息 交互 的 重要 工具 。 

SQL 注入 攻击 需要 具备 两 个 前 提 条 件 : 从 软件 系统 自身 来 看 ,被 攻击 系统 能 够 以 “字符 
串 " 方 式 接收 用 户 输入 ,可 以 利用 输入 "字符 串 ” 构 造 的 SQL 语句 来 执行 数据 库 操作 ; 从 软 
件 开发 人 员 来 看 ,对 于 用 户 输入 的 “字符 串 ”, 虽 然 符合 SQL 语句 的 语法 要 求 , 但 对 其 可 能 的 
执行 结果 未 进行 严格 验证 。 当 以 上 两 个 条 件 同时 具备 时 ,攻击 者 便 将 恶意 代码 注入 “字符 
串 ” 后 ,使 其 得 以 在 数据 库 系 统 上 执行 ,实现 攻击 目的 。 

SQL 注入 是 利用 Web 应 用 程序 数据 层 存在 的 输入 验证 漏洞 ,将 SQL 代码 插入 或 添加 
到 应 用 程序 (或 用 户 ) 的 输入 参数 中 ,再 将 这 些 参 数 传递 给 后 台 的 SQL 服务 器 加 以 解析 并 执 
行 的 攻击 方式 。 如 果 Web 应 用 程序 未 对 动态 构造 的 SQL 语句 所 使 用 的 参数 进行 正确 性 审 
查 ,那么 攻击 者 很 可 能 会 修改 后 台 SQL 语句 的 构造 。 如 果 攻 击 者 能 够 修改 SQL 语句 ,那么 
该 语句 将 与 该 应 用 程序 的 使 用 者 拥有 相同 的 运行 权限 。 

SQL 是 访问 MS SQL、Oracle、MySQL 等 数据 库 服务 器 的 标准 语言 ,大 多 数 Web 应 用 
程序 都 需要 与 数据 库 进 行 交互 ,并 且 大 多 数 Web 应 用 程序 的 编程 语言 (如 ASP、C# .、. net、 
Java、PHP 等 ) 均 提供 了 通过 编程 来 连接 数据 库 并 进行 交互 的 功能 。 如 果 Web 开发 人 员 无 
法 确保 在 通过 Web 表单 .Cookie 及 输入 参数 等 方式 中 接收 到 数据 并 传递 给 SQL 查询 (该 查 
询 在 数据 库 上 执行 ) 之 前 对 其 进行 验证 ,那么 通常 会 出 现 SQL 注入 漏洞 。 如 果 攻 击 者 能 够 
控制 发 送 给 SQL 查询 的 输入 ,并 且 能 够 操纵 该 输入 将 其 解析 为 代码 而 非 数据 ,那么 攻击 者 
就 很 有 可 能 在 后 台数 据 库 执行 该 代码 。 

SQL 注入 存在 的 危害 主要 表现 在 数据 库 信 息 泄 露 、 网 页 自 改 、 网 站 挂 马 、 数 据 库 被 恶意 
操作 、 服 务 器 被 远程 控制 等 几 个 方面 。 

3. SQL 注入 攻击 的 原理 

SQL 注入 攻击 主要 是 通过 构建 特殊 的 输入 (这 些 输 入 往往 是 SQL 语法 中 的 一 些 组 合 ) 
作为 参数 传递 给 Web 应 用 程序 ,通过 执行 SQL 语句 而 执行 攻击 者 预期 的 操作 。 下 面 以 一 
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个 动态 ASP 的 Web 应 用 系统 的 登录 认证 模块 为 例 , 具 体 介 绍 SQL 注入 攻击 的 实现 原理 。 

约定 : 需要 进行 认证 登录 的 Web 网 站 的 用 户 名 和 对 应 的 登录 密码 保存 在 MS SQL 
Server 数据 库 UserDB 的 users 表 中 ,对 应 的 字段 名 分 别 为 id、username 和 password, 典 型 
的 SQL 查询 语句 为 : 


SELECT * from users WHERE usename = 'wangqun' RND password = 'wql23456' 


当 该 SQL 语句 提交 给 后 台数 据 库 执行 时 , 如 果 把 用 户 “wangqun” 和 登录 密码 
“wql23456” 保 存在 数据 库 UserDB 的 users 表 中 ,将 成 功 登 录 该 Web 系统 。 

但 是 ,如 果 将 username 和 password 分 别 赋值 为 “'wangqun'OR '1' 二 '1'” 和 
“'abc123456'OR '1' 二 '1”, 那 么 将 会 构造 一 个 SQL 查询 语句 。 


SELECT * from users WHERE usename = 'wangqun' OR '1'= '1'AND password = 'abc123456'OR '1=1' 


该 SQL 查询 语句 有 两 个 判断 ,只 要 有 一 个 条 件 成 立 ,就 会 成 功 执行 。 由 于 “1 二 1” 在 小 
辑 上 是 永恒 成 立 的 ,因此 无 论 users 表 中 的 username 和 password 字段 是 何 内 容 , 攻 击 者 都 
可 以 在 不 需要 知道 数据 库 中 真实 的 用 户 名 和 登录 密码 的 前 提 下 ,通过 SQL 注入 攻击 成 功 
登录 。 

如 果 攻 击 者 为 username 字段 赋值 *x' OR '1'=='1'”, 为 password 字段 赋值 *'wql23456'; 
DROP TABLE users;SELECT * from admin WHERE 't'=='t'”, 将 会 构造 如 下 的 SQL 查 
询 语 句 。 

SELECT * from users WHERE usename = 'x'OR '1'= '1'AND password = 'wql23456'; 


DROP TABLE users; 
SELECT * from admin WHERE't'= 't" 


当 上 述 SQL 查询 语句 提交 给 后 台数 据 库 时 ,将 顺序 执行 3 条 不 同 的 SQL 操作 : 第 1 条 
是 对 users 表 进 行 查询 操作 ; 第 2 条 是 删除 users 表 ; 第 3 条 是 查询 admin 表 中 的 全 部 
记录 。 

SQL 注入 攻击 过 程 中 有 关 SQL 语句 的 构造 方法 较 多 ,在 此 不 再 一 一 介绍 。 

4. SQL 注入 攻击 的 实现 过 程 

SQL 注入 可 以 出 现在 任何 系统 或 用 户 接 收 数据 输入 的 前 端 应 用 程序 中 。 在 Web 应 用 
环境 中 ,Web 浏览 器 为 前 端 应 用 程序 , 它 负 责 向 用 户 请 求 数 据 并 将 数据 发 送 到 远程 服务 器 
端 。 远程 服 务 器 使 用 提交 的 数据 创建 SQL 查询 。 可 以 通过 识别 服务 器 响应 中 的 异常 来 确 
定 是 否 存在 SQL 注入 漏洞 。 

(1) 寻找 SQL 注入 点 。 在 互联 网 上 寻找 和 确定 SQL 注入 点 是 进行 SQL 注入 攻击 的 
前 提 。 最 常见 的 SQL 注入 点 的 判断 方法 是 在 动态 网 页 中 寻找 如 下 形式 的 链接 。 


http://Website/ xx .asp?xx = abc 
http://Website/ xx .php?xx = abc 
http://Website/ xx . jsp?xx = abc 
http://Website/ ** .aspx?xx = abc 
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下 面 以 http://Website/ xx .asp? xx 一 abc 为 例 进 行 介绍 。 在 实际 应 用 中 ,参数 xx 字 
段 的 类 型 可 能 是 整数 型 或 字符 串 型 。 
当 参 数 xx 字段 的 类 型 为 整数 型 时 ,SQL 查询 语句 的 形式 为 : 


SELECT * from users WHERE xx = abc 


这 时 ,攻击 者 可 以 将 "abc” 设 置 为 如 下 3 种 不 同类 型 的 字符 串 , 并 通过 返回 的 页 面 信息 
来 决定 该 动态 网 页 是 否 存在 SQL 注入 点 。 

Q@ 当 原 来 的 整数 型 输入 “abc” 修 改 为 “abc'* 时 ,由 于 输入 后 的 数据 类 型 不 符合 字段 类 型 
要 求 ,将 会 导致 SQL 请 句 错误 ,并 返回 错误 提示 信息 。 

@ 当 原来 的 整数 型 输入 "abc” 修 改 为 “abc and 1 二 1” 时 ,由 于 “1 二 1” 永 恒 成 立 , 不 对 查 
询 条 件 造成 任何 影响 ,因此 动态 网 页 将 返回 正常 页 面 。 

@ 当 原来 的 整数 型 输入 "abc” 修 改 为 “abc and 1 二 2” 时 ,由 于 “1 二 2” 永 恒 不 成 立 , 将 查 
询 不 到 任何 信息 ,因此 将 会 返回 一 个 空白 或 错误 提示 页 面 。 

当 同 时 满足 以 上 3 个 条 件 时 ,可 以 认定 该 Web 应 用 程序 存在 SQL 注入 点 。 

当 参 数 xx 字段 的 类 型 为 字符 串 参数 时 ,SQL 查询 语句 的 形式 为 : 


SELECT * from users WHERE xx= "abc" 


这 时 ,攻击 者 可 以 将 参数 取 值 “abc" 设 置 为 如 下 3 种 不 同 的 字符 串 , 并 通过 返回 的 页 面 
信息 来 决定 该 动态 网 页 是 否 存在 SQL 注入 点 。 

@ 当 原 来 的 字符 串 参 数 输入 "abc” 修 改 为 “abc'"” 时 ,由 于 输入 后 的 “'”( 单 引号 ) 不 符合 
字段 类 型 要 求 ,将 会 导致 SQL 语句 错误 ,并 返回 错误 提示 信息 。 

@ 当 原 来 的 字符 串 参 数 输入 “abc” 修 改 为 “abc' and '1' 二 '1” 时 ,由 于 “'1' 二 1” 永恒 成 
立 , 不 对 查询 条 件 造成 任何 影响 ,因此 动态 网 页 将 返回 正常 页 面 。 

@ 当 原 来 的 字符 串 参数 输入 “abc” 修 改 为 “abc 'and '1'='2” 时 ,由 于 “'1'='2” 永 恒 不 
成 立 ,将 查询 不 到 任何 信息 ,因此 将 会 返回 一 个 空白 或 错误 提示 页 面 。 

当 同 时 满足 以 上 3 个 条 件 时 ,可 以 认定 该 Web 应 用 程序 存在 SQL 注入 点 。 

(2) 探测 后 台数 据 库 的 类 型 。 不 同 SQL 数据 库 软 件 在 操作 方法 上 存在 着 差异 ,只 有 了 
解 了 具体 的 数据 库 软件 类 型 后 才能 有 针对 性 地 进行 远程 操控 。 一 般 情 况 下 ,后 台数 据 库 类 
型 与 所 使 用 的 开发 语言 有 关 , 例 如 ,ASP 和 . NET 一 般 使 用 MS SQL Server 数据 库 ,PHP 
使 用 MySQL 和 PostgreSQL 数据 库 ,而 Java 使 用 Oracle 和 MySQL 数据 库 等 。 也 就 是 说 ， 
如 果 知 道 某 一 Web 应 用 程序 是 使 用 什么 语言 开发 的 ,就 可 以 大 体 确定 后 台数 据 库 的 类 型 。 

另外 ,还 可 以 借助 数据 库 的 一 些 特征 来 探测 其 类 型 .最 常见 的 是 根据 数据 库 服 务 器 的 系 
统 表 进行 判断 。 例 如 ,Access 的 系统 表 为 msysobjects, 在 Web 环境 下 没有 访问 权限 ;而 
MS SQL Server 的 系统 表 是 sysobjects, 且 在 Web 环境 下 有 访问 权限 。 为 此 ,可 以 输入 类 似 
以 下 两 条 语句 。 


http://Website/ *x .asp?xx = abc and (select count( * ) from sysobjects)> 0 
http://Website/ ** .asp?xx = abc and (select count( * ) from msysobjects)> 0 
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当 第 1 条 请 求 URL 运行 正常 ,而 第 2 条 不 正常 时 ,可 以 确定 后 台数 据 库 为 MS SQL 
Server; 当 两 条 都 不 正常 时 ,可 以 确定 后 台数 据 库 为 Access。 

(3) 获取 管理 员 账 户 信息 。 在 绝 大 多 数 情况 下 , Web 网 站 的 发 布 和 日 常 维护 管理 都 需 
要 以 远程 方式 进行 ,管理 员 通 过 在 远程 登录 管理 界面 正确 输入 用 户 账户 信息 后 ,才能 对 
Web 应 用 程序 进行 上 传 /下 载 文 件 、 修 改 配置 .目录 浏览 等 操作 。 在 此 过 程 中 ,如 何 获取 管 
理 员 账 户 信息 是 非常 关键 的 。 

一 般 情况 下 ,Web 应 用 程序 管理 员 账 户 信息 保存 在 后 台数 据 库 中 。 如 果 能 够 通过 SQL 
注入 攻击 获取 到 管理 员 账 户 ,就 可 以 实现 对 Web 网 站 的 远程 控制 。 然 后 ,就 可 以 根据 攻击 
需要 ,上 传 后 门 程序 (如 ASP 后 门 ) ,对 Web 服务 器 软件 甚至 是 Web 服务 器 操作 系统 进行 
操控 ,实施 攻击 行为 。 

5. SQL 注入 攻击 的 防范 方法 

由 于 大 多 数 SQL 注入 攻击 都 是 利用 Web 应 用 程序 中 对 用 户 输入 内 容 没 有 进行 严格 的 
转 义 字符 过 滤 和 类 型 查询 这 一 漏洞 而 实施 ,因此 对 SQL 注入 的 防范 方法 主要 针对 用 户 输 入 
内 容 中 特殊 字符 及 参数 类 型 与 长 度 的 严格 检查 。 在 具体 的 防范 中 , 除 部 署 专业 的 Web 应 用 
防火 墙 外 ,在 代码 层 可 以 采取 以 下 的 方法 进行 防范 。 

(1) 使 用 参数 化 语句 。 在 Web 应 用 程序 中 利用 用 户 输入 参数 来 构造 动态 SQL 语句 
时 ,需要 注意 参数 类 型 的 安全 性 ,使 用 能 够 确保 类 型 安全 的 参数 化 语句 。 在 ADO、ADO 
.NET 等 数据 库 访 问 API 时 ,可 以 明确 输入 参数 的 具体 类 型 (如 字符 串 、 整 数 型 日 期 等 )， 
以 保证 用 户 输入 内 容 符合 该 类 型 的 格式 ,并 被 正确 地 进行 转 义 和 编 码 , 进 而 避免 SQL 注入 
攻击 的 发 生 。 

(2) 输入 验证 。 输 入 验证 是 指 验证 用 户 输入 的 内 容 , 确 保 其 符合 Web 应 用 程序 中 已 确 
定 的 标准 ,具体 可 分 为 白 名 单 验证 和 黑 名 单 验证 两 种 方式 。 

g@ 白 名 单 验 证 。 白 名 单 验证 是 指 Web 应 用 程序 只 接收 记录 中 可 信 的 输入 内 容 。 它 在 
接收 输入 并 做 进一步 处 理 之 前 ,需要 验证 输入 是 否 符合 期 望 的 类 型 .长 度 (或 大 小 ) 数据 范 
围 等 标准 或 格式 。 例 如 ,要 验证 输入 值 是 用 户 身 份 证 号 码 时 ,需要 验证 的 输入 内 容 可 包含 字 
符 和 总 长 度 (一 般 为 18 位 )。 

@ 黑 名 单 验证 。 黑 名 单 验证 是 指 Web 应 用 程序 会 自动 阻止 已 经 确认 并 保存 在 记录 中 
的 恶意 内 容 输 入 。 在 黑 名 单 验证 过 程 中 ,由 于 潜在 的 恶意 内 容 列 表 较 大 ,检索 效率 较 低 , 而 
且 黑 名 单 的 维护 和 更 新 较为 困难 ,因此 使 用 效果 不 如 白 名 单 验证 好 。 

(3) 实施 最 小 权限 原则 。 一 旦 攻击 者 获得 执行 SQL 查询 的 能 力 , 就 会 以 一 个 数据 库 用 
户 的 身份 进行 查询 。 所 以 ,可 以 为 每 一 个 数据 库 用 户 设 置 只 能 拥有 完成 自己 的 任务 所 必需 
的 权限 ,而 限制 拥有 超出 自己 操作 范围 的 权限 ,以 此 通过 实施 最 小 权限 来 防止 SQL 注入 攻 
击 。 如 果 一 个 数据 库 用 户 拥有 很 大 的 权限 ,攻击 者 在 获取 了 该 用 户 的 权限 后 就 可 能 删除 数 
据 表 ,操纵 其 他 用 户 的 权限 ,从 而 发 起 其 他 SQL 注入 攻击 。 为 此 ,绝对 不 能 以 超级 用 户 、 其 
他 权限 较 高 或 管理 员 级 的 用 户 身 份 访问 网 络 应 用 程序 的 数据 库 , 从 而 杜绝 这 种 情况 发 生 。 
最 小 权限 原则 的 另外 一 个 变 体 是 区 别 数据 库 的 读数 据 和 写 数 据 权 限 。 具 体 可 以 设置 一 个 拥 
有 写 数据 权限 的 用 户 和 另 一 个 只 有 读数 据 权 限 的 用 户 , 这 种 角色 区 分 可 以 确保 在 SQL 注入 
攻击 目标 为 只 读 用 户 时 ,攻击 者 无 法 写 数据 或 操纵 表 数 据 。 

(4) 使 用 存储 过 程 。 存储 过 程 (Stored Procedure) 是 数据 库 中 的 一 个 重要 对 象 , 它 是 存 
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储 在 数据 库 中 的 一 组 为 了 完成 特定 功能 的 SQL 语句 集 ,经 过 第 一 次 编译 后 再 次 调用 时 不 需 
要 再 次 编译 ,用 户 通过 指定 存储 过 程 的 名 称 并 给 出 参数 (如 果 该 存储 过 程 带 有 参数 ) 来 执行 
它 。 将 Web 应 用 程序 设计 成 专门 使 用 存储 过 程 来 访问 数据 库 是 一 种 可 以 防止 或 减轻 SQL 
注入 攻击 的 技术 。 因 为 在 大 多 数 数据 库 中 使 用 存储 过 程 时 都 可 以 在 数据 库 层 配置 访问 控 
制 ,这 就 意味 着 如 果 发 现 了 可 利用 的 SQL 注入 攻击 , 则 会 通过 正确 配置 许可 来 保证 攻击 者 
无 法 访问 数据 库 中 的 敏感 信息 。 

(5) 加 强 对 SQL 数据 库 服 务 器 的 安全 配置 。 可 以 采用 必要 的 方法 加 强 对 SQL 数据 库 
服务 器 的 安全 配置 ,尤其 是 加 强 Web 应 用 程序 与 数据 库 与 之 间 的 安全 连接 ,以 最 小 权限 原 
则 配置 Web 应 用 程序 连接 数据 库 的 查询 操作 权限 ,避免 敏感 数据 (如 用 户 账户 信息 ) 以 明文 
形式 存储 在 数据 库 中 。 另 外 ,通过 设置 不 泄露 任何 有 价值 信息 的 默认 出 错 机 制 ( 如 Web 查 
询 结 果 出 错 、 用 户 认 证 失败 等 ) 并 以 此 来 替代 默认 出 错 提示 ,避免 为 攻击 者 提供 有 用 信息 。 


5.4.3” 跨 站 脚本 漏洞 


跨 站 脚本 (Cross Site Scripting,XSS) 漏 洞 是 一 种 经 常 出 现在 Web 应 用 程序 中 的 安全 
漏洞 ,是 由 于 Web 应 用 程序 对 用 户 的 输入 内 容 的 安全 验证 与 过 滤 不 够 严格 而 产生 的 。XSS 
漏洞 的 最 大 特点 是 能 够 注入 HTML 和 JavaScript 代码 到 用 户 浏览 器 的 网 页 上 ,从 而 达到 动 
持 用 户 会 话 的 目的 。 

1. 跨 站 漏洞 及 跨 站 脚本 攻击 

跨 站 漏洞 是 由 于 网 站 开发 人 员 在 编写 网 站 程序 时 对 一 些 变量 没有 做 充分 的 过 滤 ,直接 
把 用 户 提交 的 数据 送 到 SQL 语句 里 执行 ,导致 用 户 可 以 提交 一 些 特意 构造 的 语句 , 如 
JavaScript\VBScript 和 ActionScript 等 脚本 代码 。 在 此 基础 上 ,攻击 者 利用 跨 站 漏洞 输入 
恶意 的 脚本 代码 , 当 亚 意 代 码 被 执行 后 就 产生 了 跨 站 脚本 (Cross Site Scripting,XSS) 攻 击 。 

跨 站 脚本 攻击 是 指 攻击 者 通过 向 Web 页 面 中 插入 恶意 的 脚本 代码 , 当 用 户 打开 该 页 面 
时 ,嵌入 其 中 的 恶意 代码 就 会 被 执行 ,从 而 达到 恶意 攻击 的 目的 。 为 了 提高 用 户 的 体验 , 丰 
富 网 站 的 功能 ,现在 许多 网 站 采取 动态 网 页 技术 , 即 根据 用 户 提供 的 数据 (通过 数据 库 或 手 
工 输入 方式 ) ,Web 应 用 程序 会 动态 的 显示 输入 内 容 。 动 态 网 站 技术 为 实现 XSS 攻击 提供 
了 便利 , 当 攻 击 者 输入 隐藏 了 恶意 目的 的 代码 时 ,攻击 就 会 发 生 。 当 攻击 者 在 网 站 页 面 文 件 
中 植 人 了 恶意 代码 时 ,凡是 打开 该 网 页 的 用 户 , 这 些 恶 意 代码 都 会 注入 到 客户 端的 浏览 器 中 
并 执行 ,使 用 户 受到 攻击 。 

在 XSS 攻击 中 ,攻击 者 利用 跨 站 漏洞 可 以 在 网 站 中 插入 任意 代码 ,这 些 代码 的 功能 包 
括 获取 网 站 管理 员 或 普通 用 户 的 Cookie、 隐 项 运行 网 页 木马 .格式 化 浏览 者 的 硬盘 等 ,只 要 
脚本 代码 能 够 实现 的 功能 , 跨 站 攻击 都 能 够 实现 ,如 窃取 用 户 隐私 、 钓 鱼 欺骗 、 偷 取 密码 、 传 
播 恶意 代码 等 。 

与 前 文 介绍 的 SQL 注入 攻击 不 同 的 是 : XSS 攻击 的 最 终 目标 不 是 提供 服务 的 Web 应 
用 程序 ,而 是 使 用 Web 应 用 程序 的 用 户 。 随 着 Web 技术 的 快速 发 展 ,大 量 的 主流 浏览 器 及 
其 插件 普遍 支持 对 JavaScript、Flash Action Script、Silverlight 等 客户 端 脚 本 代码 的 本 地 执 
行 ,为 XSS 攻击 提供 了 所 需要 的 环境 。 攻击 者 可 以 利用 Web 应 用 程序 中 的 安全 漏洞 ,在 
Web 服务 器 网 页 中 插入 经 过 精心 构造 的 客户 端 脚 本 代码 ,形成 恶意 攻击 页 面 。 当 Web 客 
户 端 访问 这 些 网 页 时 ,所 使 用 的 浏览 器 就 会 自动 下 载 并 执行 这 些 网 页 中 的 恶意 客户 端 脚本 ， 
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对 其 进行 解析 和 执行 ,从 而 遭受 攻击 。 

需要 说 明 的 是 , 层 释 样式 表 (Cascading Style Sheets,CSS) 网 页 开发 技术 出 现 于 1994 
年 ,而 在 1996 年 XSS(Cross Site Scripting, 跨 站 脚本 ) 出 现 后 ,为 了 便于 区 别 , 则 将 其 英文 缩 
写 确 定 为 XSS。 

2. XSS 攻击 的 分 类 

根据 攻击 特征 和 对 安全 漏洞 利用 方法 的 不 同 ,可 以 将 XSS 攻击 分 为 反射 式 XSS 攻击 、 
存储 式 XSS 攻击 和 基于 DOM 的 XSS 攻击 3 种 类 型 。 

(1) 反射 式 XSS 攻击 。 反 射 式 XSS 攻击 也 称 为 非 持 久 性 XSS 攻击 或 参数 型 XSS 攻 
击 , 是 一 种 最 常见 的 XSS 攻击 类 型 ,主要 用 于 将 恶意 脚本 附加 到 URL 地 址 的 参数 中 。 
例如 : 


http://WebSite/home. php?id = < script > alert(/xss/)</script > 


在 Web 交互 操作 中 , 当 Web 浏览 器 在 HTTP 请 求 参 数 或 HTML 表单 中 接收 到 信息 
时 , 则 由 服务 器 端 脚本 为 该 用 户 产生 一 个 结果 页 面 。 在 此 过 程 中 ,由 于 服务 器 端 脚本 缺乏 对 
请 求 数据 的 安全 验证 与 过 滤 机 制 , 就 会 因 存 在 的 XSS 漏洞 遭受 到 攻击 。 

反射 式 XSS 攻击 的 实现 过 程 中 一 般 为 : 攻击 者 发 现存 在 XSS 安全 漏洞 网 页 (URL) 后 ， 
根据 输出 点 的 环境 构造 XSS 攻击 代码 并 进行 编码 ,然后 通过 特定 手段 (如 发 送 电 子 邮 件 ) 发 
送 给 受害 者 , 诱 使 受害 者 去 访问 一 个 包含 恶意 代码 的 URL, 当 受 害 者 单 击 这 个 经 过 专门 设 
计 的 URL 链接 后 ,攻击 代码 会 直接 在 受害 者 的 浏览 器 上 解析 并 执行 。 

需要 说 明 的 是 ,反射 式 XSS 攻击 一 般 需 要 欺骗 用 户 自己 去 单 击 链接 才能 触发 XSS 代 
码 ( 服 务 器 中 没有 这 样 的 页 面 和 内 容 ) ,一 般 容易 出 现在 搜索 页 面 中 。 

(2) 存储 式 XSS 攻击 。 存 储 式 XSS 漏洞 是 危害 最 为 严重 的 XSS 漏洞 , 它 通常 出 现在 
一 些 可 以 将 用 户 输 入 内 容 持 久 性 地 保存 在 Web 服务 器 端 ,并 在 一 些 看 似 正常 的 页 面 中 持续 
性 地 显示 ,从 而 能 够 影响 所 有 访问 这 些 页 面 的 Web 用户。 因此 ,将 存储 式 XSS 攻击 也 称 为 
持久 性 XSS 攻击 ,通常 针对 留言 版 .论坛 .博客 等 Web 应 用 ,攻击 者 通过 以 输入 留言 信息 的 
方式 注入 包含 恶意 脚本 代码 的 内 容 后 , 当 其 他 用 户 访问 该 网 页 时 ,站 点 即 从 Web 服务 器 端 
读 取 攻击 代码 ,然后 显示 在 页 面 中 ,并 在 受害 者 主机 上 的 浏览 器 中 解析 并 执行 恶意 代码 。 

存储 式 XSS 攻击 的 攻击 代码 持久 性 地 保存 在 Web 服务 器 中 ,不 需要 用 户 单 击 特定 的 
URL 就 能 够 执行 跨 站 脚本 ,并 在 用 户 端 执行 恶意 代码 。 另 外 ,利用 存储 式 XSS 漏洞 可 以 编 
写 危害 性 更 大 的 XSS 蠕虫 ,XSS 蠕虫 会 直接 影响 到 网 站 的 所 有 用 户 , 当 一 个 地 方 出 现 XSS 
漏洞 时 ,相同 站 点 下 的 所 有 用 户 都 可 能 被 攻击 。 

(3) 基于 DOM 的 XSS 攻击 。DOM(Document Object Model ,文档 对 象 模型 ) 是 一 个 与 
平台 和 语言 无 关 的 接口 ,可 以 使 程序 和 脚本 动态 访问 和 更 新 文档 的 内 容 、 结 构 和 样式 ,处 理 
后 的 结果 能 够 成 为 显示 页 面 的 一 部 分 。DOM 中 有 很 多 对 象 ,其 中 一 些 ( 如 URL location、 
refelTer 等 ) 是 用 户 可 以 操纵 的 。 客 户 端的 脚本 程序 可 以 通过 DOM 动态 地 检查 和 修改 页 
面 内 容 , 它 不 依赖 于 提交 数据 到 服务 器 端 ,而 从 客户 端 获得 DOM 中 的 数据 并 在 本 地 执行 。 
期 间 , 如 果 DOM 中 的 数据 没有 经 过 严格 验证 和 过 滤 ,就 会 产生 基于 DOM 的 XSS(DOM- 
based XSS) 漏 洞 。 
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传统 的 XSS 漏洞 都 存在 于 用 来 向 用 户 提供 HTML 响应 页 面 的 Web 服务 器 中 ,而 基于 
DOM 的 XSS 漏洞 则 发 生 在 客户 端 处 理 内 容 的 阶段 。 基 于 DOM 的 XSS 攻击 源 于 DOM 相 
关 的 属性 和 方法 ,在 实现 过 程 中 被 插入 用 于 XSS 攻击 的 脚本 。 下 面 是 一 个 典型 的 例子 。 

HTTP 请 求 http://Website/welcome. html? name 王 wangqun 使 用 以 下 的 脚本 打印 
出 登录 用 户 wangqun 的 名 称 , 即 





< SCRIPT > 

Var pos = docmnent. URL. indexOf("name= ") +5: 

document. write (document. URL. substring(pos, document. URL. length) ); 
< /SCRIPT > 


如 果 这 个 脚本 用 于 请 求 http://Website/welcome. html? name 王 < script > alert("XSS") 
</script > 时 ,就 导致 了 XSS 攻击 的 发 生 。 当 用 户 单 击 这 个 链接 时 , Web 服务 器 返回 包含 上 
述 脚本 的 HTML 静态 文本 ,用 户 端 浏览 器 把 HTML 文本 解析 成 DOM, DOM 中 的 
document 对 象 URL 属性 的 值 就 是 当前 页 面 的 URL。 在 脚本 被 解析 时 ,这 个 URL 属性 值 
的 一 部 分 被 写 人 HTML 文本 ,而 这 部 分 HTML 文本 便 是 JavaScript 脚本 ,这 使 得 < script > 
alert("XSS")</script > 成 为 页 面 最 终 显示 的 HTML 文本 ,从 而 导致 基于 DOM 的 XSS 攻 
击 的 发 生 。 

3。. XSS 攻击 的 防范 方法 

虽然 XSS 的 表现 形式 多 种 多 样 , 利 用 方法 又 灵活 多 变 , 但 恶意 脚本 执行 都 是 在 客户 端 
的 浏览 器 上 ,危害 的 也 是 客户 端的 安全 。 可 以 从 以 下 几 个 方面 重点 加 强 对 XSS 攻击 的 
防范 。 

(1) XSS 过 滤 。 虽 然 XSS 攻击 的 对 象 是 客户 端 ,但 XSS 的 本 质 是 Web 应 用 服务 的 漏 
洞 ,所 以 必须 同时 对 Web 服务 器 和 客户 端 进行 安全 加 固 才能 避免 攻击 的 发 生 。XSS 过 滤 需 
要 在 客户 端 和 服务 器 端 同 时 进行 。 

由 于 XSS 攻击 是 利用 一 些 正常 的 站 内 交互 机 制 来 实现 ,如 发 布 评论 、 添 加 文章 等 方式 
来 提交 含有 恶意 JavaScript 的 内 容 , 服 务 器 端 如 果 没 有 过 滤 或 转 义 掉 这 些 脚本 ,反而 作为 内 
容 发 布 到 页 面 上 ,那么 当 正常 用 户 访问 该 页 面 时 就 会 运行 这 些 恶 意 攻击 脚本 。 因 此 ,需要 针 
对 “< >”JavaScript” 等 敏感 字符 串 需要 进行 过 滤 , 如 果 发 现 用 户 输 入 的 信息 中 包含 有 可 疑 
字符 串 ,在 保存 到 服务 器 端 之 前 需要 对 其 进行 转 义 或 直接 禁用 。 

由 于 XSS 攻击 的 目标 是 客户 端 ,具体 在 浏览 器 上 解析 和 执行 ,因此 客户 端 防范 XSS 攻 
击 的 有 效 方法 是 提升 浏览 器 的 安全 性 。 一 方面 ,可 以 使 用 自 带 XSS 过 滤 插 件 的 安全 浏览 
器 ,只 允许 受信 任 的 网 站 启用 JavaScript 等 脚本 ; 另 一 方面 ,通过 对 浏览 器 的 安全 设置 (如 
提高 访问 非 受 信和 网 站 时 的 安全 等 级 .关闭 Cookie 功能 等 ) ,尽量 降低 浏览 器 的 安全 风险 。 

(2) 输入 验证 。 输 入 验证 就 是 对 用 户 提 交 的 信息 进行 有 效 性 验证 , 仅 接收 有 效 的 信息 ， 
阻止 或 忽略 无 效 的 用 户 输入 信息 。 在 对 用 户 提交 的 信息 进行 有 效 性 验证 时 ,不 仅 要 验证 数 
据 的 类 型 ,还 要 验证 其 格式 ,长度 .范围 和 内 容 。 

在 进行 输入 验证 时 ,需要 对 所 有 输入 中 的 script \iframe 等 字样 进行 严格 的 检查 。 这 里 
的 输入 不 仅仅 是 用 户 可 以 直接 交互 的 输入 接口 ,还 包括 HTTP 请 求 报 文中 的 变量 等 。 

大 部 分 Web 应 用 程序 会 依靠 客户 端 来 验证 用 户 提 交 给 服务 器 的 数据 ,从 而 提高 程序 的 
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可 用 性 。 不 过 ,仅仅 在 客户 端 对 非法 输入 进行 验证 和 测试 是 不 够 的 ,因为 客户 端 组 件 和 用 户 
输入 不 在 服务 器 的 控制 范围 内 ,用 户 能 够 完全 控制 客户 端 及 提交 的 数据 ,从 而 绕 过 客户 端的 
检查 而 将 信息 直接 提交 给 服务 器 。 为 此 ,对 客户 端 提交 数据 的 安全 性 进行 检查 ,还 必须 依靠 
服务 器 的 防范 措施 ,如 CSS 过 滤 。 

(3) 输出 编码 。 由 于 大 多 数 Web 应 用 程序 都 会 把 用 户 输入 的 信息 完整 地 输出 到 页 面 
中 ,因此 导致 XSS 漏洞 的 存在 。 为 解决 这 一 问题 , 当 需 要 将 一 个 字符 串 输出 到 Web 网 页 ， 
但 又 无 法 确定 这 个 字符 串 是 否 包含 XSS 特殊 字符 时 ,为 了 确保 输出 内 容 的 完整 性 和 正确 
性 ,可 以 使 用 HTML 编码 (HTML Encode) 进 行 处 理 。 

HTML 编码 通过 用 对 应 的 HTML 实体 编号 来 蔡 代 字符 串 ( 如 将 字符 串 “<” 替 换 为 实 
体 编号 “& #60;”) ,可 使 浏览 器 安全 处 理 可 能 存在 的 恶意 字符 ,将 其 当 作 HTML 文档 的 内 
容 而 非 结 构 加 以 处 理 , 通 过 编码 转 义 ,可 有 效 防范 XSS 攻击 的 发 生 。 

总 体 来 说 ,相对 于 其 他 网 络 漏洞 攻击 , 因 跨 站 漏洞 而 引起 的 XSS 攻击 显得 更 隐蔽 和 难 
以 防范 。XSS 攻击 过 程 是 用 户 浏览 器 与 网 站 服务 器 Web 程序 的 交互 过 程 , 因 此 安全 管理 和 
防范 也 同时 涉及 网 站 和 浏览 器 两 个 方面 ,但 防范 重点 应 放 在 网 站 程序 的 编写 上 。 要 求 网 站 
开发 者 在 编写 程序 代码 时 要 检测 其 安全 性 ,如 过 滤 用 户 提交 数据 中 的 代码 ,不 再 将 数据 作为 
代码 直接 来 处 理 , 限 制 输入 字符 的 类 型 和 长 度 , 限 制 用 户 上 传 Flash 文件 等 ; 同时 要 求 用 户 
浏览 时 也 应 采用 安全 的 浏览 方式 ,如 不 轻易 单 击 网 站 的 链接 、 提 高 浏览 器 的 安全 等 级 等 。 


5.5 Web 服务 器 软件 的 攻防 


IIS(Internet Information Services) 和 Apache 是 目前 应 用 较为 广泛 的 两 款 典 型 的 Web 
服务 器 软件 , 除 此 之 外 ,还 有 IBM WebSphere、Oracle IAS、BEA WebLogic 和 Tomcat 等 。 
每 一 款 软件 都 有 其 应 用 优势 和 最 佳 应 用 环境 ,同样 也 都 不 同 程度 地 存在 着 安全 隐患 ,攻击 者 
可 以 利用 存在 的 安全 漏洞 对 Web 服务 器 实施 渗透 攻击 或 窃取 敏感 信息 。 


5.5.1 Apache 攻防 


近年 来 ,虽然 Nginx、LightHttpd 等 Web 服务 器 软件 得 到 了 快速 发 展 , 也 逐渐 得 到 了 用 
户 的 青睐 ,但 Apache HTTP Server( 简 称 Apache) 在 这 一 领域 的 主导 地 位 仍然 没有 被 撼动 。 
如 今 ,互联 网 上 大 多 数 的 Web 应 用 仍然 运行 在 Apache Httpd(httpd 是 Apache HTTP 服 
务 器 的 主 程序 ) 上 。 目 前 ,虽然 在 互联 网 上 存在 各 种 类 型 的 Web 服务 器 软件 ,但 不 管 采 用 哪 
一 种 软件 ,基本 的 安全 问题 主要 集中 在 3 个 方面 : 不 必要 的 服务 带 来 的 安全 威胁 .基础 安全 
认证 机 制 和 协议 存在 的 安全 缺陷 及 Web 服务 器 自身 存在 的 安全 漏洞 。 

1. 针对 Apache 模块 的 攻防 

一 般 情况 下 , Web 服务 器 的 安全 主要 集中 在 两 点 : 一 是 Web 服务 器 自身 的 安全 ; 二 是 
Web 服务 器 是 否 提供 了 可 供 使 用 的 安全 功能 。 与 其 他 服务 器 软件 一 样 ,Apache 同样 也 因 
出 现 一 些 高 危 安全 漏洞 导致 系统 服务 出 现 安全 问题 ,但 通过 对 近年 来 发 生 的 大 量 安全 漏洞 
的 统计 分 析 ,Apache 的 高 危 漏洞 主要 集中 在 Apache 模块 (Apache Modules), 而 非 Apache 
核心 程序 。 这 是 因为 Apache 核心 程序 的 设计 是 非常 安全 的 ,但 大 量 的 官方 和 非 官方 模块 
的 出 现 ,在 丰富 了 Apache 应 用 功能 的 同时 ,也 带 来 了 大 量 的 安全 隐患 。 尤 其 在 安装 了 
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Apache 后 ,默认 安装 和 启动 的 模块 中 存在 不 少 安全 漏洞 。 

出 于 安全 防范 ,首先 要 检查 Apache 模块 的 安装 情况 。 最 小 权限 原则 同样 也 适用 于 
Apache 模块 的 安装 ,应 该 不 安装 或 尽 可 能 少 地 安装 不 必要 的 模块 ,以 减少 系统 出 错 的 机 会 。 
对 于 已 经 安装 的 模块 ,也 要 确保 升级 为 最 新 版 本 ,防止 安全 漏洞 的 出 现 和 被 利用 。 

2. 针对 Apache 管理 员 账 户 的 攻防 

首先 需要 说 明 是 ,以 root 或 admin 身份 运行 Apache 进程 是 非常 不 安全 的 。 这 是 因为 
root 或 admin 是 服务 器 管理 员 在 管理 计算 机 系统 时 使 用 的 身份 ,一 般 具有 最 高 的 权限 ,可 
以 在 系统 中 从 事 管 理 脚本 访问 配置 文件 . 读 取 日 志 等 操作 。 这 时 ,如 果 攻 击 者 以 管理 员 身 
份 登录 系统 ,将 直接 获取 一 个 最 高 权限 的 Shell。 同 时 ,应 用 程序 本 身 将 具有 较 高 权限 , 当 应 
用 程序 存在 漏洞 时 ,将 会 带 来 安全 风险 ,如 删除 本 地 硬盘 上 的 重要 文件 终止 服务 进程 等 ,其 
中 有 些 操作 带 来 的 后 果 是 灾难 性 的 。 

正确 的 配置 和 防范 方法 是 : 为 Apache 进程 的 运行 使 用 专门 的 用 户 账户 (user/group)， 
而 且 这 个 用 户 账户 唯一 的 作用 是 运行 Apache 进程 ,而 不 应 具有 Shell 权限 。 

3. 正确 配置 Apache 服务 器 

错误 的 或 不 恰当 的 配置 是 导致 Apache 服务 器 软件 存在 安全 问题 的 一 个 主要 原因 。 由 
于 Apache 是 一 个 较为 复杂 的 系统 ,因此 下 面 举例 来 对 常用 的 配置 内 容 进 行 说 明 。 

(1) Apache 服务 器 配置 文件 。Apache 服务 器 主要 有 3 个 配置 文件 ,位 于 “/usr/local/ 
apache/conf” 目 录 下 。 这 3 个 配置 文件 分 别 为 httpd. conf( 主 配置 文件 ) .srm. conf( 添 加 资 
源 文件 ) 和 access. conf( 设 置 文件 的 访问 权限 )。 其 中 ,每 一 个 配置 文件 都 涉及 大 量 的 参数 ， 
许多 参数 的 配置 都 与 安全 直接 相关 。 

例如 ,文件 access. conf 中 包含 着 一 些 指 令 用 于 控制 允许 哪些 用 户 能 够 访问 Apache 目 
录 。 应 该 把 “deny from all" 设 为 初始 化 指令 , 青 使 用 “allow from” 指 令 打开 访问 权限 。 





order deny,allow 
deny from all 
allow fromabc. net 


通过 该 设置 ,可 允许 来 自 某 个 域 (如 abc. net) IP 地 址 或 者 IP 地 址 段 的 访问 。 

(2) Apache 服务 器 的 密码 保护 。htaccess 文件 是 Apache 服务 器 中 的 一 个 配置 文件 ， 
它 负 责 相 关 目 录 下 的 网 页 配置 。 例 如 ,通过 htaccess 文件 可 以 帮助 用 户 实 现 文件 夹 密码 保 
护 、 用 户 自动 重 定向 、 自 定义 错误 页 面 、 改 变 用 户 的 文件 扩展 名 、 限 制 特 定 IP 地 址 的 用 户 访 
问 、 只 允许 特定 IP 地 址 的 用 户 访问 、 禁 止 目录 列表 .以 及 使 用 其 他 文件 作为 index 文件 等 一 
些 功能 。 

管理 员 可 以 通过 对 . htaccess 文件 的 配置 ,把 某 个 目录 的 访问 权限 赋予 某 个 用 户 。 需 要 
启用 . htaccess 文件 时 ,管理 员 首先 要 通过 修改 httpd. conf 来 启用 AllowOverride, 并 可 以 用 
AllowOverride 限制 特定 命令 的 使 用 。 如 果 需 要 使 用 . htaccess 以 外 的 其 他 文件 名 ,可 以 用 
AccessFileName 指令 来 改变 。 


5.5.2 IIS 攻防 
针对 任何 一 台 提供 互联 网 应 用 服务 的 Web 服务 器 ,管理 员 必须 建立 一 套 完善 的 完全 管 
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理 策略 ,而 且 必须 熟悉 策略 中 每 一 项 设置 的 功能 。Windows Server 中 的 IIS 采用 模块 化 设 
计 , 默 认 只 会 安装 基本 的 功能 组 件 ,其 他 功能 在 用 户 需要 时 由 系统 管理 员 自 动 添 加 ,以 此 减 
少 IIS 网 站 的 被 攻击 面 ,减少 系统 管理 员 所 要 面 对 的 不 必要 的 安全 挑战 。 同 时 ,IIS 也 提供 
了 一 些 安全 措施 来 强化 网 站 的 安全 性 。 

1. 安全 漏洞 

虽然 IIS 提供 了 必须 的 安全 管理 措施 ,但 由 于 IIS 存在 的 各 类 安全 漏洞 及 一 些 系统 管理 
员 缺 乏 必 要 的 安全 管理 意识 ,长 期 以 来 一 直 是 攻击 者 首选 的 攻击 对 象 。 

与 其 他 的 网 络 服务 守护 进程 一 样 ,IIS 同样 也 面临 着 缓冲 区 溢出 \ 不 安全 代码 和 指针 、 
格式 化 字符 串 等 一 系列 攻击 ,这 类 攻击 是 基于 数据 驱动 安全 漏洞 的 远程 渗透 攻击 ,往往 能 够 
让 攻击 者 在 Web 服务 器 上 直接 获得 远程 代码 的 执行 权 , 并 执行 一 些 操作 。IIS 6. 0 之 前 的 
多 个 版 本 都 存在 该 安全 漏洞 。 

作为 HTTP1. 1 的 扩展 ,WebDAV (Web-based Distributed Authoring and Versioning, Web 
分 布 式 创作 和 版 本 控制 ) 已 经 成 为 重要 的 Web 通信 协议 。 对 于 使 用 WebDAV 的 客户 端 可 以 
进行 如 下 的 操作 : 在 WebDAV 目录 中 复制 和 移动 文件 ,修改 与 某 些 资 源 相 关联 的 属性 、 锁 定 
并 解锁 资源 以 便 多 个 用 户 可 同时 读 取 一 个 文件 .搜索 WebDAV 目录 中 的 文件 的 内 容 和 属性 
等 。 由 于 使 用 WebDAV 较为 方便 ,因此 经 常用 于 对 IIS 网 站 的 远程 管理 ,如 图 5-10 所 示 。 





图 5-10 WebDAYV 登录 界面 


然而 ,针对 WebDAYV 的 安全 漏洞 频繁 出 现 。 例如, WebDAV 本 地 提 权 漏洞 (CVE- 
2016-0051) 就 是 一 个 针对 客户 端 验证 输入 不 当 而 存在 的 特权 提升 漏洞 ,利用 该 安全 漏洞 攻 
击 者 可 以 使 用 提升 的 特权 执行 任意 代码 。 又 如 ,CVE-2017-7269 是 IS 6. 0 中 存在 的 一 个 栈 
溢出 漏洞 ,在 IIS 6. 0 处 理 propfind 指令 时 ,由 于 对 URL 的 长 度 没有 进行 有 效 的 控制 和 检 
查 , 导 致 执行 memcpy 对 虚拟 路 径 进行 构造 时 ,引发 堆栈 溢出 ,该 漏洞 可 以 导致 远程 代码 
执行 。 
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针对 IIS 安全 漏洞 最 有 效 的 防范 方法 仍然 是 及 时 安装 补丁 程序 ,并 坚持 最 小 权限 原则 
对 系统 进行 管理 和 安全 配置 。 例 如 ,针对 IIS 写 文件 漏洞 , 除 升 级 最 新 补丁 程序 外 ,还 需要 
对 WebDAYV 组 件 进行 安全 配置 。 如 果 没 有 用 到 WebDAYV 功能 ,建议 直接 将 其 禁用 。 如 果 
一 定 要 使 用 该 组 件 时 ,可 以 对 其 权限 (尤其 是 “ 写 入 ”和 “脚本 资源 访问 ”权限 ,如 图 5-11 所 
示 ) 进 行 严 格 管理 。 








5-11 设置 WebDAV 文件 夹 的 访问 权限 


2. IIS 的 安全 配置 

作为 一 款 应 用 广泛 (尤其 是 中 小 单位 广泛 使 用 ) 的 Web 服务 器 软件 ,可 以 从 以 下 几 个 方 
面 加 强 对 IIS 的 安全 配置 和 管理 。 

(1) 禁用 默认 网 站 。IIS 中 的 “默认 网 站 ”是 系统 提供 的 用 于 对 IIS 运行 状态 进行 测试 
的 网 站 ,如 图 5-12 所 示 。 由 于 该 网 站 仅仅 是 用 于 性 能 测试 ,没有 过 多 的 考虑 其 安全 性 ,因此 
出 于 安全 考虑 ,在 IIS 安装 结束 并 测试 运行 正常 后 将 “默认 网 站 ”禁用 。 更 不 能 直接 在 默认 
网 站 的 基础 上 ,通过 修改 代码 和 配置 来 发 布 自己 的 网 站 。 





nterne 

日 - 虽 szEyERI (本 地 计算 机 ) 了 :NTTNDOYS\systen32\CertSrw\ .. 
由 藤 应 用 程序 池 E: WINDOWS\systen32\CertSrw\. .. 
日 名 网站 BE: \WINDOWS\system32\CertSrv 
| 由 MW. \BackDffFi ceStorage 

由 优 Web 服务 扩展 MW. \BackOfficeStorage\wldhj.... 


了 :AProgran Files\Exchsrvr\Ex 
了 :AMYINDOYS\systen32\inetsrw\ 
lieroso 了 :AProgran Files\Exchsrwr\ON. .. 
E:\Program Files\Exchsryr\ON. .. 
AN VBack0fficasteragevwldhj ... 








图 5-12 查看 HS 提供 的 “默认 网 站 ” 
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(2) 防止 资源 解析 攻击 。Web 服务 器 软件 在 处 理 资源 请 求 时 ,根据 不 同 Web 客户 端的 
要 求 ,针对 同一 资源 (如 Web 页 面 ) 需 要 解析 为 不 同 的 标准 化 名 称 , 将 这 一 过 程 称 为 资源 解 
析 。 例 如 ,HTTP 的 资源 请 求 URL 可 以 用 Unicode 方式 进行 编码 ,而 Web 服务 器 软件 在 
接受 Unicode 编码 方式 的 URL 时 ,就 需要 进行 标准 化 的 解析 。 但 是 ,一 些 Web 服务 器 软件 
可 能 在 资源 解析 过 程 中 缺乏 对 一 些 输入 的 合法 性 验证 ,从 而 导致 目录 遍历 .敏感 信息 泄露 、 
代码 注入 等 攻击 现象 的 发 生 。IIS 软件 中 的 “ASP:: $ DATA” 漏 洞 是 一 种 典型 的 资源 解析 
安全 漏洞 , 它 允 许 攻击 者 下 载 ASP 源 代码 而 不 是 把 它们 提交 给 IIS ASP 引擎 进行 动态 这 
染 。 解 决 此 安全 问题 的 主要 途径 仍然 是 及 时 安装 补丁 程序 。 

(3) 正确 选择 验证 方式 。IIS 网 站 默认 人 允许 所 有 用 户 连接 (匿名 验证 )。 如 果 网 站 只 对 
特定 的 用 户 开放 ,就 需要 启用 网 站 登录 用 户 验证 方式 , 即 当 用 户 正确 输入 用 户 名 和 密码 后 才 
能 够 访问 。 在 IIS 8. 0(Windows Server 2012) 中 用 来 验证 用 户 名 和 密码 的 方式 主要 有 匿名 
身份 验证 、 基 本 身份 验证 ,摘要 式 身份 验证 和 Windows 身份 验证 。4 种 身份 验证 方式 的 比 
较 如 表 5-3 所 示 ,管理 员 可 以 根据 安全 要 求 进行 选择 和 配置 。 


表 5-3 IIS 提供 的 4 种 身份 验证 方式 的 比较 














身份 验证 方式 安全 等 级 密码 传输 方式 是 否 能 够 通过 防火 墙 或 代理 服务 器 
匿名 身份 验证 无 是 
基本 身份 验证 低 明文 是 
摘要 式 身份 验证 中 Hash 处 理 是 





Kerberos: 可 通过 代理 服务 器 ,但 一 般 
Kerveros(Kerberos Ticket) | 会 被 防火 墙 拦截 

或 NTLM(Hash 处 理 ) NTLM: 无 法 通过 代理 服务 器 ,但 可 
开放 其 通过 防火 墙 


Windows 身份 验证 高 











(4) 通过 IP 地 址 限制 连接 。 根 据 应 用 要 求 ,可 以 允许 或 拒绝 某 台 ( 某 个 IP 地 址 ) 或 某 
组 ( 某 段 IP 地 址 ) 特 定 计算 机 连接 指定 的 网 站 ,如 图 5-13 所 示 。 例 如 ,单位 内 部 网 站 可 以 被 
设置 成 只 允许 内 部 计算 机 来 访问 ,拒绝 所 有 外 部 的 网 络 连接 。 这 时 ,可 以 在 IIS 中 针对 特定 
网 站 进行 设置 。 然 后 , 当 管 理 员 通过 IP 地 址 限制 某 台 或 某 组 客户 端 计算 机 不 可 以 连接 网 站 
后 ,所 有 来 自 被 限制 计算 机 的 HTTP 连接 请 求 都 会 被 拒绝 ,增加 了 系统 应 用 的 安全 性 。 

由 地 址 和 域名 限制 
卫 地 址 访问 限制 





默认 情况 下 ， 所 有 计算 机 都 格 被 GP 人 骤 权 访问 克 j 
下 列队 外 : 局 玉 拒 引 访问 四 
[ 节 间 | 严 地 址 了 | 
这 加 om 








图 5-13 设置 IP 地 址 和 域名 限制 


另外 ,IIS 还 提供 了 “动态 IP 限制 ”功能 ,可 以 根据 连接 行为 来 决定 是 否 允 许 客户 端的 连 
接 。 主 要 基于 以 下 两 个 策略 。 
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(1) 基于 并 发 请 求 数 量 拒绝 IP 地 址 。 如 果 同 一 个 客户 端的 并 发 连接 数量 超过 此 处 的 
设置 值 ,就 拒绝 其 连接 。 

(2) 基于 一 段 时 间 内 的 请 求 数量 拒绝 IP 地 址 。 如 果 同 一 个 客户 端 ,在 指定 时 间 内 的 连 
接 数量 超过 此 处 的 设置 值 , 就 拒绝 其 连接 。 


习 题 


1. 简 述 C/S 结构 和 B/S 结构 的 特点 。 

2. Web 应 用 安全 涉及 哪些 具体 内 容 , 简 述 其 安全 防范 方法 。 

3. 为 什么 在 对 Web 服务 器 实施 攻击 之 前 需要 进行 信息 的 收集 ? 具体 应 收集 哪些 内 
容 ? 如 何 收 集 ? 

4. 简 述 网 络 踩 点 、 网 络 扫 描 和 网 络 查 点 的 功能 ,并 通过 具体 操作 掌握 其 应 用 。 

5. 简 述 PING 命令 的 功能 ,并 介绍 如 何 使 用 PING 来 探测 一 台 主 机 的 连通 性 。 

6. 在 熟悉 TCP 和 UDP 协议 工作 原理 的 基础 上 ,分 别 简 述 基于 TCP 和 UDP 协议 进行 
主机 扫描 的 方法 。 

7. 在 熟悉 端口 概念 和 应 用 分 类 的 基础 上 , 简 述 端口 扫描 的 功能 及 常见 的 TCP 和 UDP 
端口 扫描 的 实现 方法 。 

8. 什么 是 系统 类 型 探测 ? 分 别 简 述 操作 系统 类 型 和 网 络 服务 类 型 探测 的 实现 原理 ,并 
借助 工具 软件 (如 nmap 等 ) 进 行 实验 测试 。 

9. 漏洞 扫描 的 工作 原理 是 什么 ? 漏洞 扫描 器 是 如 何 工作 的 ? 简 述 漏洞 扫描 器 各 组 成 
部 分 的 功能 。 

10. 什么 是 网 络 查 点 ? 它 与 网 络 踩 点 、 网 络 扫描 之 间 存 在 什么 关系 ,介绍 常见 的 网 络 查 
点 方法 。 

11. 针对 Web 服务 器 的 各 类 信息 收集 攻击 ,如何 进行 有 效 防范 ? 

12. 互联 网 环境 中 的 敏感 数据 主要 包括 哪些 内 容 ? 如 何 加 强 对 敏感 数据 的 管理 ? 

13. 什么 是 网 站 自 改 ? 如 何 进行 防范 ? 

14. 什么 是 内 容 注 入 和 SQL 注入 ? 简 述 SQL 注入 攻击 的 实现 原理 和 具体 过 程 ,并 介 
绍 其 防范 方法 。 

15. 什么 是 跨 站 脚本 漏洞 与 跨 站 脚本 攻击 ? XSS 攻击 分 为 哪 几 类 ? 如 何 有 效 防范 XSS 
攻击 ? 

16. 针对 Web 服务 器 软件 的 攻防 ,分 别 介绍 Apache 和 IIS 服务 器 的 安全 配置 方法 。 


第 6 童 Web 浏览 右 的 攻防 


随 着 博客 (blog) 、 微 博 (microblog) ,社交 网 站 (Social Networking Site, SNS)、Web 2.0 
等 一 系列 新 型 应 用 的 产生 ,基于 B/S(Browser/Server, 浏 览 器 /服务 器 ) 架 构 的 Web 应 用 越 
来 越 广泛 。 同 时 , 随 着 移动 互联 网 应 用 的 不 断 普及 , Web 功能 也 在 随 着 应 用 环境 的 变化 而 
不 断 发 展 和 完善 ,以 满足 用 户 的 新 需求 。 与 此 同时 ,伴随 着 Web 应 用 需求 的 迅速 发 展 ,也 引 
起 了 攻击 者 的 强烈 关注 ,攻击 者 利用 Web 前 端 (Web 浏览 器 ) 和 Web 后 端 C(Web 网 站 操作 
系统 .Web 应 用 程序 和 Web 服务 器 软件 ) 的 安全 漏洞 实施 攻击 ,已 经 对 正常 的 Web 应 用 安 
全 构成 了 严重 威胁 。 本 章 主要 关注 Web 浏览 器 的 安全 ,在 介绍 Web 浏览 器 相关 知识 的 基 
础 上 ,重点 介绍 Web 浏览 器 的 攻防 技术 。 


6.1 Web 浏览 器 技术 


目前 ,用 户 间 的 交流 文件 上 传 与 下 载 `. 网 上 交易 、 信 息 检索 与 浏览 等 操作 都 集中 在 
Web 浏览 器 (Web Browser) 上 实现 , Web 浏览 器 成 为 互联 网 中 应 用 最 为 广泛 的 客户 端 
软件 。 

6.1.1 万 维 网 


1989 年 12 月 , 带 姆 . 伯 纳 斯 - 李 (Tim Berners-Lee) 发 明了 万 维 网 (World Wide Web， 
WWW), 指 出: HTTP(Hyper Text Transfer Protocol, 超 文本 传输 协议 ) 和 HTML(Hyper 
Text Markup Language, 超 文本 标记 语言 ) 就 是 计算 机 之 间 交 换 信息 时 所 使 用 的 语言 ,也 就 
是 说 当 用 户 在 计算 机 上 单 击 一 条 链接 时 ,用 户 的 计算 机 就 会 自动 进入 想 要 查看 的 页 面 ,之 后 
它 就 会 利用 这 种 计算 机 之 间 的 语言 与 其 他 计算 机 进行 沟通 。 随 后 ,他 又 将 WWW 的 发 明 称 
为 : 这 是 新 时 代 的 敲 门 声 ,这 是 新 生命 的 呼吸 和 心跳 ,这 是 全 人 类 的 你 \ 我 ,他 。 

WWW 并 非 某 种 特殊 类 型 的 计算 机 网 络 ,而 是 在 互联 网 (Internet) 上 通过 HTTP 和 
HTML 等 协议 ,实现 的 一 个 大 规模 的 、 联 机 式 的 分 布 式 信息 应 用 。 所 以 ,WWW 是 基于 互 
联网 的 一 类 应 用 。WWW 的 应 用 具有 以 下 明显 的 特点 。 

(1) 超 链 接 。 通 过 超 链 接 (Hyper Link) 实 现 了 一 个 网 页 与 另外 一 个 网 页 的 关联 ,能 够 
方便 地 从 一 个 网 页 访问 另 一 个 网 页 ( 即 网 页 之 间 的 链接 ) ,这 些 网 页 文件 可 以 在 同一 个 站 点 ， 
也 可 在 不 同 的 站 点 。 

(2) 超 文本 和 超 媒 体 。 通 过 超 链接 将 多 个 文本 组 合 起 来 形成 超 文 本 (Hyper Text)。 早 
期 的 超 文本 已 经 发 展 为 后 来 的 超 媒体 (Hyper Media) ,因为 早期 的 WWW 应 用 大 都 包含 着 
文本 信息 ,而 后 来 在 此 基础 上 增加 了 图 形 图像. 声音、 动画、 视频 图 像 等 内 容 , 即 通过 超 链 接 
将 多 媒体 或 流 媒 体 文件 链接 起 来 ,组 合成 了 超 媒 体 。 

(3) 客户 服务 器 方式 。WWW 以 客户 服务 器 方式 工作 ,其 中 浏览 器 就 是 在 用 户 计算 机 
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上 的 WWW 客户 端 程序 ,保存 WWW 文档 并 运行 服务 软件 的 计算 机 称 为 服务 器 。 客 户 端 
程序 向 服务 器 端 程序 发 出 请 求 ,服务 器 端 程序 向 客户 端 程序 返回 所 需要 的 WWW 文档。 在 
一 个 客户 端 程序 提供 的 窗口 中 显示 出 的 WWW 文档 称 为 网 页 (page) 。 

(4) 统一 资源 定位 符 (URL)。 为 了 标志 分 布 在 互联 网 上 的 WWW 文档 ,使 用 了 URL 
(Uniform Resource Locator, 统 一 资源 定位 符 )。 通 过 URL ,能 够 使 每 一 个 文档 在 整个 互联 
网 的 应 用 范围 内 具有 唯一 的 标识 。URL 的 一 般 语 法 格式 如 下 : 


< 协议 >://< 主 机 >[ :端口 ]/< 路 径 >/[ ;参数 ][? 查 询 ] 


其 中 , 带 方 括号 [的 为 可 选项 。 

(5) 超 文本 传输 协议 (HTTP)。 为 了 实现 WWW 上 文档 之 间 的 链接 ,使 客户 端 程序 能 
够 与 服务 器 端 程序 之 间 进 行 交互 ,提出 了 超 文 本 传输 协议 (HTTP)。HTTP 是 一 个 应 用 层 
协议 , 它 使 用 TCP 连接 进行 可 靠 的 数据 传输 。 

HTTP 协议 传输 的 数据 都 是 未 加 密 的 明文 数据 ,存在 安全 隐患 。 为 了 保证 用 户 隐私 数 
据 在 传输 过 程 中 不 被 泄露 ,网 景 公司 设计 了 SSL(Secure Sockets Layer, 安 全 套 接 层 ) 协 议 
用 于 对 HTTP 协议 传输 的 数据 进行 加 密 , 从 而 出 现 了 HTTPS。 简 单 地 讲 ,HTTPS 协议 是 
由 “SSL 十 HTTP” 协 议 构 建 的 可 进行 加 密 传输 、 身 份 认 证 的 具有 安全 加 密 特征 的 网 络 协议 。 

(6) 超 文本 标记 语言 (HTML)。 超 文本 标记 语言 (HTML) 实 现 了 不 同 功 能 和 风格 的 
WWW 文档 在 互联 网 不 同 计算 机 上 的 显示 ,并 且 可 以 使 网 页 设计 者 方便 地 以 “链接 ”方式 从 
一 个 页 面 的 指定 位 置 关联 到 互联 网 上 任何 一 个 页 面 。HTML 不 是 应 用 层 的 协议 ,而 是 一 种 
制作 WWW 网 页 的 标准 语言 , 它 消 除了 不 同 计算 机 之 间 信 息 资源 存在 的 障碍 。 发 布 于 
2014 年 9 月 的 HTML 5.0 增 加 了 在 网 页 中 嵌入 音频 、 视 频 以 及 交互 式 文档 等 功能 ,目前 一 
些 主流 的 浏览 器 都 支持 HTML 5. 0。 

下 面 是 与 HTML 有 关 的 两 种 语言 。 

@ XML(eXtensible Markup Language, 可 扩展 标记 语言 )。XML 和 HTML 都 是 标准 
通用 标记 语言 的 子 集 , 其 中 HTML 被 设计 用 来 显示 数据 ,而 XML 被 设计 用 来 传输 和 存储 
数据 。 具 体 地 讲 ,XML 用 于 标记 电子 文件 ,可 以 对 文档 和 数据 进行 结构 化 处 理 , 是 一 种 允 
许 用 户 对 自己 的 标记 语言 进行 定义 的 源 语言 。XML 不 是 替代 HTML ,而 是 对 HTML 应 用 
功能 的 补充 。 

@ XHTML (Extensible Hyper Text Markup Language, 可 扩展 超 文本 标记 语言 )。 
XHTML 是 一 个 基于 XML 的 标记 语言 , 它 综 合 了 部 分 XML 的 强大 功能 及 大 多 数 HTML 
的 简单 特性 ,是 一 个 扮演 着 类 似 HTML 角色 的 XML。 更 具体 地 来 讲 ,XHTML 的 功能 与 
HTML 类 似 ,只 是 语法 结构 更 加 严格 ,是 作为 一 种 XML 被 重新 定义 的 HTML ,并 将 逐渐 取 
代 HTML。 目前 新 的 浏览 器 都 支持 XHTML。 


6.1.2 ”Web 浏览 器 


1990 年 带 姆 。 伯 纳 斯 - 李 推出 了 第 一 款 被 称 为 “World Wide Web” 的 命令 行 的 Web 浏 
览 器 软件 。1991 年 5 月 ,WWW 结合 了 Web 浏览 器 后 在 诞生 于 19 世纪 60 年 代 的 Internet 
上 首次 露面 ,立即 引起 友 动 ,获得 了 极 大 的 成 功 , 被 广泛 推广 应 用 。 
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1. 国外 Web 浏览 器 的 发 展 

1993 年 2 月 被 称 为 “Mosaic” 的 全 球 第 一 个 图 形 界面 浏览 器 (Browser) 推 出 。“Mosaic” 
项 目的 负责 人 Marc Andreessen 在 大 学 毕业 后 创办 了 网 景 公 司 ,并 在 Mosaic 的 基础 上 研发 
了 Netscape 浏览 器 。 

在 网 景 公 司 的 Netscape 浏览 器 取得 成 功 的 同时 ,微软 公司 意识 到 了 Web 浏览 器 在 互 
联网 快速 发 展 中 所 起 的 巨大 作用 ,所 以 从 Spyglass 公司 取得 了 Mosaic 源 代码 授权 ,在 1995 
年 推出 了 Internet Explorer(IE) 浏 览 器 ,并 通过 Windows 操作 系统 捆绑 推广 ,并 迅速 抢占 
了 Netscape 的 市 场 份 额 ,成 为 市 场 占 有 率 最 高 的 Web 浏览 器 。 

网 景 公司 与 微软 公司 在 Web 浏览 器 竞争 中 失利 后 ,开放 了 Netscape 浏览 器 的 源 代码 ， 
成 立 了 非 正 式 组 织 Mozilla ,并 推出 了 Firefox 浏览 器 (也 称 为 “Mozilla Firefox 浏览 器 ”) , 继 
续 与 IE 浏览 器 进行 竞争 。 

2008 年 9 月 ,Google 公司 推出 了 Chrome 浏览 器 ,以 快速 .简单 .安全 的 特点 很 快 赢得 
用 户 的 青睐 。 基 于 开源 内 核 的 Chrome、Firefox、Safari(Mac OS 中 的 浏览 器 ) 等 浏览 器 丰富 
了 PC 端 用 户 上 网 的 应 用 需求 。 与 此 同时 ,微软 公司 意识 到 了 开源 内 核 浏览 器 带 来 的 竞争 
压力 ,在 频繁 更 新 IE 版 本 (2011 年 发 布 IE 9,2012 年 发 布 IE 10,2013 年 发 布 IE 11) 之 后 ， 
重新 开发 了 名 为 “Edge” 的 浏览 器 来 取代 IE。 

2. 国产 Web 浏览 器 的 发 展 

1999 年 一 个 网 名 为 “changyou”( 畅 游 ) 的 程序 员 在 论坛 上 发 布 了 一 款 名 为 “MyIE” 的 浏 
览 器 ,标志 着 国产 Web 浏览 器 的 诞生 。MyIE 基于 IE 开发 ,并 进行 了 性 能 优化 和 功能 扩 
展 。 在 MyIE 源 代码 的 基础 上 ,开发 了 TheWorld( 世 界 之 窗 ) 浏 览 器 ,该 浏览 器 后 来 被 360 
公司 收购 后 发 展 为 现在 的 360 安全 浏览 器 。 目 前 ,国产 浏览 器 主要 有 360 安全 浏览 器 、 猫 豹 
安全 浏览 器 .傲游 浏览 器 .百度 浏览 器 .腾讯 TT 浏览 器 等 。 

自从 Web 浏览 器 出 现 后 ,国内 用 户 长 期 以 来 主要 使 用 I 下 ,尤其 是 网 上 银行 ,各 类 在 线 
支付 系统 以 及 大 多 数 网 站 的 页 面 显 示 都 是 在 IE 的 基础 上 开发 的 ,部 分 使 用 新 内 核 的 浏览 器 
则 无 法 正常 浏览 。 在 此 情况 下 ,一 方面 为 了 继续 使 用 原来 在 IE 下 开发 的 系统 ,同时 能 够 使 
用 到 新 内 核 浏览 器 带 来 的 功能 , 便 出 现 了 “双核 浏览 器 *。 所 谓 双 核 , 是 指 一 个 浏览 器 同时 拥 
有 两 个 内 核 ,用 户 可 以 根据 应 用 需要 进行 切换 。 由 于 IE 在 国内 用 户 中 特殊 的 地 位 ,“ 双 核 ” 
中 的 一 个 内 核 一 般 是 Trident(IE 使 用 的 内 核 ) ,其 他 内 核 可 采用 Webkit(Safari、Chrome 使 
用 该 内 核 )、Chromium (Google 创建 的 基于 Webkit 内 核 的 开源 浏览 器 引擎 )、Gecko 
(Firefox 使 用 该 内 核 )、Presto(Opera 7.0 及 以 上 版 本 使 用 该 内 核 ) 等 。 其 中 ,使 用 “Trident” 
内 核 时 称 为 “兼容 浏览 模式 ”, 而 使 用 其 他 内 核 时 称 为 “高 速 浏览 模式 ”。 

需要 说 明 的 是 : 国内 双核 浏览 器 是 迫 于 网 络 应 用 环境 而 产生 的 一 个 过 渡 产 物 , 随 着 
Web 标准 的 普及 ,双核 浏览 器 自然 会 失去 存在 的 意义 。 


6.1.3 Web 浏览 器 的 安全 


Web 浏览 器 应 用 的 广泛 性 和 产品 的 多 样 性 在 丰富 了 用 户 上 网 体验 的 同时 ,也 增加 了 安 
全 风险 。 与 其 他 应 用 软件 相 比 较 , 由 于 网 上 银行 、 在 线 支付 等 应 用 都 通过 Web 方式 进行 ， 
Web 浏览 器 存在 的 安全 风险 已 对 用 户 财产 和 个 人 隐私 构成 严重 威胁 。 
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由 于 B/S 结构 同时 涉及 Web 客户 端 ( 主 要 包括 客户 端 操作 系统 和 Web 浏览 器 )、Web 
服务 器 端 (主要 包括 服务 器 端 操作 系统 、Web 服务 器 软件 和 Web 应 用 软件 ) 和 应 用 层 协 议 
(主要 包括 HTTP/HTTPS 和 FTP) ,系统 运行 过 程 中 涉及 的 环节 较 多 ,环境 相对 复杂 ,所 以 
涉及 的 安全 问题 较 多 ,而 且 部 分 安全 威胁 可 能 同时 涉及 B/S 的 多 个 方面 。 例 如 ,针对 Web 
浏览 器 的 攻击 与 渗透 ,具体 实施 时 可 能 同时 涉及 客户 端 操作 系统 和 运行 在 该 操作 系统 上 的 
Web 浏览 器 。 

仅 Web 浏览 器 自身 来 说 ,由 于 不 同 的 浏览 器 采用 的 内 核 存 在 着 差异 ,而 且 每 一 款 浏览 
器 都 几乎 通过 功能 扩展 来 体现 各 自 的 特色 ,因此 Web 浏览 器 缺乏 一 个 可 供 大 家 遵循 的 严格 
的 安全 规范 ,这 成 为 Web 浏览 器 安全 隐患 产生 的 根源 。 同 时 , HTML、XHTML、CSS 等 语 
言 和 规范 存在 的 安全 漏洞 ,以 及 JavaScript、Flash、PHP、SilverLight 等 客户 端 运 行 环 境 存 
在 的 安全 风险 ,都 会 使 Web 浏览 器 的 安全 变 得 非常 复杂 。 

大 多 数 Web 浏览 器 用 户 都 希望 浏览 器 能 够 通过 扩展 程序 、 插 件 和 浏览 器 帮助 对 象 
(Browser Helper Objects, BHO) 提 供 一 些 便利 。 但 是 ,这 些 附 加 产品 在 通过 将 组 件 添加 到 
浏览 器 的 默认 功能 来 提高 用 户 感受 的 同时 ,也 成 为 恶意 攻击 者 的 首要 攻击 目标 。 因 为 用 户 
在 修补 和 更 新 插件 和 扩展 程序 方面 的 能 力 普遍 较 差 , 而 且 第 三 方 扩展 插件 的 开发 过 程 一 般 
缺乏 安全 保障 ,同时 浏览 器 插件 一 般 也 不 具备 版 本 自动 更 新 的 机 制 , 安 全 漏洞 被 利用 的 时 间 
周期 要 比 系统 软件 以 及 浏览 器 软件 本 身长 。 虽 然 很 多 主流 的 附加 组 件 是 由 知名 供应 商 所 开 
发 的 ,但 是 任何 人 都 可 以 写 一 段 代码 让 这 些 组 件 成 为 传递 恶意 软件 的 潜在 工具 。 因 此 ,浏览 
器 就 成 为 了 终端 最 脆弱 的 攻击 目标 。 另 外 ,软件 漏洞 的 利用 一 般 需 要 在 软件 运行 状态 下 进 
行 ,而 浏览 器 长 期 处 于 联机 运行 状态 ,为 攻击 提供 了 便利 。 

Web 浏览 器 旨 在 为 用 户 提供 一 些 扩 展 程序 的 权限 控制 ,但 是 通常 会 因为 粗 粒 度 访问 控 
制 而 被 攻击 。 另 外 ,用 户 总 是 对 各 种 附加 产品 授予 权限 ,防风 险 意识 不 强 。 很 多 用 户 认 为 一 
个 附加 产品 托管 在 官方 扩展 程序 库 中 就 想当然 认为 它 是 安全 的 ,不 过 尽管 大 多 数 附加 产品 
在 推出 之 前 都 要 经 过 审查 ,但 是 违反 浏览 器 开发 者 意图 的 恶意 扩展 程序 并 不 少见 。 例 如 , 提 
交 给 苹果 扩展 程序 库 的 苹果 Safari 扩展 程序 其 实 托管 在 一 个 外 部 位 置 ,而 Mozilla Firefox 
允许 来 自 第 三 方 网 站 扩展 程序 的 安装 等 。 

Web 浏览 器 的 安全 风险 主要 涉及 浏览 器 URL 地 址 栏 欺骗 攻击 ,浏览 器 URL 状态 栏 
欺骗 攻击 、 浏 览 器 页 面 标 签 欺 骗 攻击 、 浏 览 器 页 面 解析 欺骗 攻击 、 浏 览 器 插件 安全 、 浏 览 
器 本 地 存储 安全 浏览 器 安全 策略 被 绕 过 浏览 器 隐私 安全 、 浏 览 器 差异 带 来 的 安全 风险 
等 方面 。 


6.1.4 Web 浏览 器 的 隐私 保护 


隐私 保护 是 网 络 攻防 领域 一 个 备 受 大 家 关注 的 问题 。 虽 然 在 网 络 攻击 过 程 中 不 会 直接 
利用 到 用 户 的 隐私 ,但 隐私 是 攻击 前 信息 收集 的 主要 内 容 。 为 此 ,有 效 保护 隐私 对 加 强 网 络 
防范 是 非常 有 必要 的 。 本 节 重 点 介绍 Web 浏览 器 应 用 中 的 隐私 泄露 与 保护 问题 。 

目前 ,许多 Web 浏览 器 自身 存在 着 严重 的 隐私 泄露 问题 。 浏 览 器 会 收集 用 户 的 上 网 行 
为 (如 什么 时 候 访 问 过 什么 网 站 ) ,并 且 把 用 户 的 上 网 行为 信息 保存 在 自己 的 服务 器 上 ,然后 
再 通过 大 数据 分 析 , 了 解 每 一 位 上 网 用 户 的 个 人 爱好 、 上 网 习惯 等 信息 。 因 为 用 户 上 网 信息 
中 蕴藏 着 大 量 的 商业 利益 ,所 以 一 些 公 司 和 商业 机 构 出 于 自身 利益 会 大 量 收集 用 户 的 上 网 
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信息 。 其 中 ,一 些 浏览 器 厂商 的 绝 大 部 分 收益 依靠 “在 线 广告 "。 要 实现 广告 的 在 线 精准 投 
放 , 自 然 要 收集 用 户 的 信息 ,只 有 浏览 器 厂商 在 对 用 户 的 上 网 信息 收集 并 分 析 后 , 才 知 道 哪 
些 上 网 用 户 对 哪些 内 容 ( 广 告 ) 感 兴趣 。 这 期 间 就 涉及 了 隐私 问题 。 

与 隐私 有 关 的 另 一 个 问题 是 Web 浏览 器 会 记录 用 户 的 上 网 行为 。 例 如 , 某 一 用 户 平时 
喜欢 访问 某 一 网 站 或 在 网 上 搜索 了 某 一 内 容 ( 如 某 本 书 , 某 款式 的 服装 等 ) ,但 在 操作 了 浏览 
器 后 没有 消除 浏览 器 的 历史 缓存 ,当下 一 次 打开 该 Web 浏览 器 时 ,就 会 发 现 之 前 查看 的 信 
息 显 示 在 页 面 中 。 

DNT(Do Not Track ,请 勿 跟踪 ) 是 浏览 器 提供 的 一 项 禁止 对 用 户 上 网 行为 进行 跟踪 的 
功能 。DNT 功能 可 以 在 HTTP 头 部 进行 设置 , 当 用 户 通过 浏览 器 选择 了 这 个 功能 (图 6-1)， 
就 可 以 免 于 被 第 三 方 网 站 跟踪 网 络 痕迹 。 在 IE 11 中 ,也 可 以 在 “安全 ”选项 卡 下 ,选取 “ 启 
用 “Do Not Track 请求” 和 “启用 跟踪 保护 ”来 实现 此 功能 。 目 前 , IE、 Firefox、 Safari、 
Chrome、Opera 浏览 器 都 支持 该 功能 ,但 一 般 需 要 用 户 在 选取 后 才 会 生效 。 
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图 6-1 IE 11 中 对 “Do Not Track” 功 能 的 设置 


保护 用 户 隐 私 的 另 一 种 方法 是 使 用 浏览 器 的 “隐私 浏览 模式 ”。 当 浏览 器 处 于 “隐私 浏 
览 模式 ?时 ,浏览 器 将 不 会 保存 相应 的 历史 记录 ,在 用 户 关闭 了 浏览 器 后 所 有 浏览 信息 将 自 
动 消失 。 例 如 , 当 用 户 临 时 需要 使 用 别人 的 计算 机 上 网 ,但 不 想 让 别人 知道 自己 访问 过 哪些 
网 站 时 ,就 可 以 使 用 "隐私 浏览 模式 ”。 目 前 ,大 部 分 浏览 器 都 支持 "隐私 浏览 模式 ”, 在 IE 11 
下 ,可 以 通过 选取 “安全 ”选项 卡 中 的 “InPrivate” 来 启用 “隐私 浏览 模式 ”, 将 打开 如 图 6-2 所 
示 的 浏览 窗口 。 

不 过 ,如 果 用 户 的 浏览 器 安装 了 插件 ,可 能 会 导致 "隐私 浏览 模式 ?下 某 些 插件 照样 会 留 
下 上 网 痕迹 。 
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当 启用 InPrivate 浏览 时 ， 你 格 看 到 此 标志 
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“InPrivate 浏览 ”可 帮助 阻止 Internet Explorer 存储 有 关 你 的 浏览 会 话 的 
数据 。 这 包括 Cookie、Internet 临时 文件 、 历 史记 录 以 及 其 他 数据 。 默认 
情况 下 将 禁用 工具 栏 和 扩展 。 有 关 详细 信息 ， 请 参阅 帮助 











车 要 关闭 InPrivate 浏览 ， 请 关闭 此 浏览 器 窗口 . 





了 解 有 关 “InPrivate 浏览 ”的 详细 信息 | 在 线 洞 读 Internet Explorer 隐私 声明 








图 6-2 浏览 器 处 于 “隐私 保护 模式 ” 


6.1.5 Web 开放 数据 挖掘 形成 的 安全 威胁 


互联 网 自身 所 具有 的 开放 特质 使 得 大 量 不 同 结构 类 型 的 数据 暴露 在 互联 网 上 ,可 以 利 
用 扑 虫 等 工具 采集 、 存 储 、 追 踪 特 定 行 为 或 人 员 的 细节 数据 , 即 可 实现 开放 数据 挖掘 。 这 种 
方法 一 旦 被 不 法 分 子 应 用 到 对 网 站 的 攻击 中 ,将 构成 巨大 的 安全 威胁 。 

攻击 者 盗 取 网 站 后 台数 据 库 后 , 便 可 利用 其 中 的 注册 信息 、 用 户 个 人 信息 、 隐 私信 息 等 
牟取 非法 利益 ,甚至 实施 犯罪 。 近 年 来 ,不 法 分 子 利 用 互联 网 的 开放 特点 ,将 目光 转向 挖掘 
网 站 上 的 公开 数据 ,从 而 实施 对 所 掌握 数据 的 验证 、 确 认 等 , 某 种 程度 上 为 辅助 实施 网 络 其 
诈 等 侵害 行为 提供 便利 。 

过 去 ,不 法 分 子 搜集 获取 网 民 信息 需要 拖 库 或 撞 库 等 操作 ,其 过 程 较 为 复杂 。 尤 其 是 目 
前 越 来 越 多 的 网 站 对 安全 程度 的 重视 明显 提升 .使 得 拖 库 和 撞 库 越 来 越 困难 。 而 利用 互联 
网 上 开放 的 数据 ,攻击 者 利用 怜 虫 可 以 抓 取 用 户 的 留言 数据 “别有用心 ”的 不 法 分 子 可 以 了 
解 很 多 需要 的 信息 。 此 外 , 微 博 上 的 个 人 信息 、.QQ 及 QQ 空间 、 微 信 及 微 信 "个 人 相册 ”上 
的 某 些 信息 也 是 可 以 开放 访问 的 ,这 些 都 为 社会 工程 学 手段 提供 了 唾 手 可 得 的 数据 来 源 。 

随 着 “互联 网 十 ”行动 战略 的 实施 ,一 方面 ,传统 互联 网 公司 业务 快速 扩展 , 另 一 方面 将 
线 下 的 商业 机 会 与 互联 网 结合 的 O020(Online to Offline, 在 线 离线 / 线 上 到 线 下 ) 新 兴 公 司 
一 批 批 上 市 ,网 民用 户 下 载 并 注册 的 APP,. 加 上 常用 的 大 型 购物 、. 社 交 网 站 ,已 经 达到 几 十 
甚至 百 余 个 。 用 户 大 量 的 隐私 、 非 隐私 但 有 识别 身份 价值 的 数据 ,都 已 暴露 在 公共 互联 网 的 
开放 环境 中 。 

以 手机 号 码 为 例 , 微 信和 淘宝、 支付 宝 .QQ、 微 博 、 网 易 邮箱 、360 手机 卫士 等 都 全 部 支持 
使 用 手机 登录 、 修 改 密码 。 如 果 测 试 一 个 手机 号 码 是 否 在 目标 网 站 注册 过 ,只 要 在 登录 系统 
使 用 一 下 该 号 码 即 可 。 有 些 攻 击 者 还 可 以 利用 网 站 查询 端口 批量 测试 一 组 号 码 是 否 在 目标 
网 站 上 注册 ,甚至 可 综合 其 他 信息 推测 用 户 的 大 致 偏好 。 

开放 数据 保护 与 利用 是 镜子 的 两 面 ,就 像 隐私 保护 和 让 渡 隐 私 增强 个 性 化 体验 一 样 , 需 
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要 网 站 所 属 企业 安全 厂商 ,以 及 监管 三 方 共同 努力 。 而 从 技术 角度 来 讲 ,网 站 的 防护 思路 
也 需要 转变 ,例如 ,及 时 检测 和 避免 公开 数据 被 恶意 抓 取 , 采 取 技 术 手段 强化 数据 安全 存储 
与 传输 等 。 这 些 都 将 成 为 研究 者 和 安全 厂商 未 来 的 研究 方向 。 


6.2 Web 浏览 器 插件 和 脚本 的 攻防 


Web 浏览 器 被 称 为 是 访问 互联 网 的 入 口 ,是 当前 使 用 最 为 广泛 的 客户 端 软件 。 伴 随 着 
Web 浏览 器 的 发 展 , 其 功能 也 在 不 断 扩 展 。 然 而 , Web 浏览 器 有 些 功 能 的 扩展 是 通过 业界 
共同 遵循 的 标准 来 实现 的 ,这 类 功能 扩展 方式 具有 普遍 性 ,而 有 些 功能 的 扩展 因 Web 浏览 
器 的 不 同 而 不 同 , 具 有 差异 性 。 


6.2.1 Web 浏览 器 插件 的 攻防 


插件 (Plug-in 或 add-in) 又 称 为 外 挂 , 是 针对 某 一 特定 系统 平台 、 按 照 一 定 的 规范 编写 
的 程序 。 插 件 一 般 不 能 单独 运行 ,只 能 运行 在 程序 规定 的 特定 系统 平台 ( 某 些 插件 可 能 同时 
支持 多 个 平台 ) 下 ,这 是 因为 插件 在 运行 时 需要 调用 宿主 程序 提供 的 函数 库 或 者 数据 。 

1. 插件 的 特点 

浏览 器 插件 能 够 丰富 浏览 器 的 上 网 功能 ,是 对 浏览 器 应 用 功能 的 一 种 补充 ,如 Flash 插 
件 能 够 让 浏览 器 更 好 地 展现 网 页 中 的 动画 内 容 , 视 频 类 插件 为 浏览 器 带 来 观看 网 络 视 频 的 
功能 ,网 银 插件 能 够 帮助 用 户 在 浏览 器 上 方便 完成 支付 等 。 然 而 ,种 类 繁多 的 浏览 器 插件 是 
一 把 双 刃 剑 , 在 给 用 户 带 来 上 网 便利 和 浏览 网 页 效果 的 同时 ,也 会 带 来 严重 的 安全 问题 ,其 
中 基于 浏览 器 插件 的 安全 漏洞 便 是 最 严重 的 安全 隐患 。 

为 什么 会 存在 插件 呢 ? 主要 目的 是 扩展 Web 浏览 器 的 功能 ,但 该 功能 只 是 针对 某 一 或 
某 些 特定 系统 或 平台 ,而 不 具备 普遍 性 。 应 用 软件 (如 Web 浏览 器 ) 为 插件 的 加 载 和 运行 提 
供 了 应 用 程序 接口 和 相关 的 服务 功能 ,通过 插件 加 载 功能 可 以 将 插件 安装 到 应 用 程序 中 ,并 
实现 应 用 程序 与 插件 之 间 的 数据 交换 。 插 件 必 须 依赖 于 应 用 程序 (宿主 程序 ) 才 能 发 挥 自身 
功能 ,单独 依靠 插件 是 无 法 正常 运行 的 。 反 之 ,应 用 程序 并 不 需要 依赖 插件 就 可 以 运行 。 

使 用 插件 技术 ,可 有 利于 应 用 程序 的 设计 、 开 发 和 功能 扩展 ,主要 表现 在 以 下 几 个 方面 。 

(1) 结构 清晰 ,易于 理解 。 由 于 不 同 插件 之 间 是 相互 独立 的 ,因此 结构 非常 清晰 ,也 更 
容易 理解 。 

(2) 可 维护 性 强 。 由 于 插件 与 宿主 程序 之 间 通 过 接口 联系 ,根据 需要 进行 删除 、 插 入 或 
修改 ,结构 较为 灵活 ,软件 的 升级 和 维护 较为 方便 。 

(3) 可 移植 性 好 。 因 为 插件 本 身 就 是 由 一 系列 功能 模块 组 成 的 ,并 通过 接口 向 外 部 提 
供 自己 的 服务 ,所 以 插件 可 移植 性 好 。 同 时 ,插件 可 以 直接 调用 操作 系统 的 API, 以 动态 链 
接 库 (Windows 操作 系统 上 为 dll 文件 ) 方 式 加 载 到 浏览 器 的 进程 中 。 

(4) 便于 功能 扩展 。 实 现 应 用 程序 功能 的 扩展 .只 需 相 应 地 增删 插件 ,而 不 影响 整个 体 
系 结构 。 
(5) 插件 之 间 的 耦合 度 较 低 。 插 件 之 间 以 及 插件 与 宿主 程序 之 间 的 信息 交换 都 是 通过 
插件 与 宿主 程序 间 的 通信 来 实现 的 ,所 以 插件 之 间 的 耦合 度 更 低 。 
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(6) 插件 的 开发 方式 较为 灵活 。 可 以 根据 资源 的 实际 情况 来 调整 开发 方式 ,资源 充足 
时 可 以 开发 所 有 的 插件 ,资源 相对 匮乏 时 可 以 选择 开发 部 分 插件 ,也 可 以 请 第 三 方 的 厂商 开 
发 ,用 户 也 可 以 根据 自己 的 需要 进行 开发 。 

Web 浏览 器 能 够 直接 调用 插件 程序 ,用 于 处 理 特定 类 型 的 文件 。 常 见 的 Web 浏览 器 
插件 有 Flash 插件 .RealPlayer 插件 .MMS 插件 .MIDI 五 线 谱 插件 .ActiveX 插件 等 。 根 据 
插件 在 Web 浏览 器 中 的 加 载 位 置 ,可 以 分 为 工具 条 (Toolbar) 、 浏 览 器 辅助 (BHO) .搜索 挂 
接 (URL Searchhook) 和 下 载 ActiveX 等 方式 。 以 IE 为 例 , 常 见 的 插件 程序 的 扩展 名 主要 
有 .ocx、. dll、. cab 和 .exe 几 种 类 型 ,其 中 以 . exe 为 扩展 名 的 插件 在 安装 前 需要 得 到 用 户 的 
授权 ,只 有 授权 同意 后 才能 下 载 安装 ,而 其 他 3 种 扩展 名 的 插件 一 般 在 浏览 网 页 时 在 后 台 
动 安 装 ,用 户 可 能 无 法 察觉 。 

由 于 插件 是 用 操作 系统 的 本 地 代码 编写 的 ,并 调用 操作 系统 的 API, 因 此 插件 的 行为 浏 
览 器 是 无 法 控制 的 。 以 Flash 插件 的 Cookie 为 例 ,网 页 中 的 Flash 文件 可 以 利用 Cookie 在 
操作 系统 中 保存 一 些 信息 ,这 时 ,即使 浏览 器 使 用 了 “隐私 浏览 模式 ”, 因 为 浏览 器 无 法 限制 
插件 的 Cookie, 插 件 的 Cookie 同样 会 记录 用 户 的 部 分 上 网 信息 , 带 来 隐私 问题 。 

2. 恶意 扩展 程序 


浏览 器 是 用 户 使 用 计算 机 上 网 的 主要 工具 。 为 了 增强 浏览 器 的 灵活 性 和 易 用 性 ,很 多 
浏览 器 都 开放 了 一 些 标准 扩展 接口 , 供 第 三 方 开发 者 开发 各 种 实用 的 扩展 程序 和 浏览 器 搬 
件 。 以 360 浏览 器 为 例 , 可 支持 视频 ,邮件 、 截 图、 游戏 社交、 阅读 、 抢 票 . 购 物 、 网 银 等 多 种 
类 型 的 个 性 化 功能 扩展 (图 6-3) ,开发 者 可 以 通过 360 安全 浏览 器 应 用 开放 平台 提交 自己 开 
发 的 各 种 扩展 应 用 ,通过 审核 后 即 可 在 360 浏览 器 的 扩展 中 心中 发 布 。 
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图 6-3 360 浏览 器 提供 的 个 性 化 功能 扩展 
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与 正常 的 扩展 程序 不 同 , 恶 意 扩展 程序 通常 具有 某 些 特定 的 攻击 功能 ,一 旦 被 植 人 浏览 
器 ,就 会 恶意 自 改 浏览 器 设置 ,支持 浏览 器 主页 或 动 持 新 建 标 签 页 ,其 至 自 改 浏览 器 的 扩展 
功能 ， 而 用 户 又 无 法 名 载 这 些 恶意 扩展 。 恶意 扩展 程序 的 这 些 恶 意 行为 对 用 户 正 常 上 网 构 
成 了 严重 的 骚扰 和 安全 威胁 。 

早期 的 恶意 扩展 程序 主要 是 针对 IE 内 核 的 浏览 器 ,它们 又 被 称 为 恶意 插件 。 而 随 着 
Chrome 内 核 浏 览 器 及 国内 流行 的 双核 浏览 器 应 用 的 普及 ,针对 Chrome 内 核 的 恶意 扩展 程 
序 开始 出 现 。 从 现 有 的 恶意 扩展 案例 看 ,这 些 恶 意 扩 展 主要 以 算 改 浏览 器 主页 为 主要 目的 。 

从 恶意 扩展 程序 的 恶意 行为 可 以 看 出 ,商业 利益 是 催生 恶意 扩展 程序 的 主要 原因 。 某 
些 正 规 合 法 企业 也 在 从 事 恶 意 扩 展 程序 的 研发 和 推广 ,或 者 是 借助 恶意 扩展 程序 来 强制 用 
户 使 用 自己 的 产品 。 

3. 恶意 插件 的 防范 方法 

有 些 插件 程序 能 够 帮助 用 户 更 方便 地 浏览 网 上 信息 或 调用 上 网 辅助 功能 ,但 也 有 部 分 
程序 被 人 称 为 恶意 插件 ,常见 的 有 广告 软件 (adware) 和 间谍 软件 (spyware)。 此 类 恶意 插 
件 程序 监视 和 收集 用 户 的 上 网 行为 ,并 将 收集 到 的 信息 自动 发 送 给 插件 程序 的 开发 者 或 攻 
击 者 ,以 达到 投放 广告 . 瓷 取 银 行 账号 密码 等 非法 目的 。 以 插件 的 安全 防范 为 主 ,下 面 介 绍 
几 种 有 关 Web 安全 的 防范 技术 和 方法 。 

1) 沙 箱 

为 了 防止 攻击 者 通过 浏览 器 对 用 户 本 地 硬盘 和 注册 表 等 进行 访问 ,可 以 采用 沙 箱 技术 
进行 有 效 防范 ,从 而 消除 对 系统 的 危害 。 沙 箱 (sandbox) 是 一 个 基于 虚拟 机 技术 的 系统 程 
序 , 允 许 用 户 在 沙 箱 环境 中 运行 浏览 器 或 其 他 程序 ,程序 运行 过 程 和 结果 都 被 隔离 在 指定 的 
沙 箱 环境 中 ,运行 所 产生 的 变化 可 以 随后 删除 。 沙 箱 通过 虚拟 出 一 个 独立 作业 环境 ,使 其 内 
部 运行 的 程序 不 会 对 沙 箱 外 的 环境 (如 硬盘 ) 产 生 永久 性 的 影响 。 运 行 在 沙 箱 中 的 程序 不 能 
运行 任何 本 地 的 可 执行 程序 ,不 能 从 本 地 计算 机 文件 系统 中 读 取 任何 信息 ,也 不 能 向 本 地 计 
算 机 文件 系统 中 写 人 任何 信息 

沙 箱 技术 最 早 用 来 测试 不 受信 任 的 应 用 程序 ,目前 还 广泛 应 用 于 Web 页 面 的 安全 浏 

。 当 沙 箱 技术 应 用 到 安全 访问 Web 网 页 时 ,无 论 何 时 加 载 远程 网 站 上 的 代码 并 在 本 地 执 
0 

2) 自动 更 新 

如 果 没 有 特殊 的 应 用 要 求 ,浏览 器 应 该 始终 开启 自动 更 新 功能 。 不 过 ,并 不 是 所 有 插件 
都 会 自动 更 新 。 例 如 ,许多 浏览 器 会 自动 更 新 Adobe Flash 插件 ,但 是 大 部 分 其 他 扩展 程序 
需要 通过 运行 相关 产品 的 安装 程序 进行 更 新 。 

出 于 安全 考虑 ,可 以 禁止 运行 已 经 过 时 的 插件 。 目 前 .有些 浏览 器 插件 检测 工具 (如 
Qualys 公司 的 BrowserCheck) 可 以 检查 用 户 浏览 器 安装 的 插件 ,确定 哪些 插件 需要 更 新 ， 
并 针对 过 期 插件 提供 更 新 下 载 链接 。 

3) 利用 黑白 名 单 

为 了 有 效 降低 Web 浏览 器 扩展 程序 的 安全 风险 ,可 以 将 所 有 的 插件 先 添加 到 指定 的 黑 
名 单 , 然 后 选择 性 地 添加 一 些 必要 的 插件 到 白 名 单 。 为 了 尽 可 能 降低 安全 风险 ,可 以 通过 安 
全 评估 ,将 经 常 遭 到 攻击 的 安全 性 较 差 的 插件 从 计算 机 中 完全 务 载 ,如 果菜 些 业 务 应 用 程序 
必须 使 用 该 插件 ,可 以 创建 一 个 虚拟 机 ,让 这 些 不 安全 的 插件 在 相对 隔离 的 虚拟 机 环境 中 运 
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行 。 例 如 ,针对 安全 漏洞 较 多 的 Adobe Reader, 可 以 使 用 集成 在 浏览 器 的 PDF 阅读 器 (如 
Firefox 浏览 器 的 Mozilla PDF 阅读 器 ) 来 替代 Adobe 版 本 。 

另外 ,因为 插件 程序 由 不 同 的 发 行商 发 行 ,其 技术 水 平 也 良 著 不 齐 , 插 件 程序 很 可 能 与 
其 他 运行 中 的 程序 发 生 冲 突 , 从 而 出 现 各 种 页 面 错误 、 运 行 时 间 错 误 等 现象 ,影响 了 正常 的 
网 页 浏览 。 

对 于 安全 要 求 较 高 的 用 户 来 说 ,可 以 通过 以 下 方式 加 强 对 Web 浏览 器 插件 的 防范 (以 
IE 为 例 ) 。 

(1) 在 位 于 网 络 边界 的 防火 墙 , 通 过 安全 配置 ,限制 文件 类 型 为 . ocx、 dll、. cab 的 文件 
通过 防火 墙 进入 内 部 网 络 。 

(2) 屏蔽 调用 nwscript. exe、 cscript. exe、 wscript. exe、 regedt32. exe、 regwiz. exe、 
regsvr32. exe、reg. exe、regini. exe 等 程序 的 网 页 代码 。 


6.2.2 脚本 的 攻防 


随 着 互联 网 应 用 的 快速 发 展 , 各 类 脚本 语言 广泛 应 用 到 Web 网 站 的 开发 中 ,在 丰富 了 
Web 应 用 功能 的 同时 , 带 来 了 安全 风险 和 威胁 。 

1. 脚本 语言 

首先 ,通过 脚本 语言 与 高 级 语言 之 间 的 比较 来 说 明和 脚本 语言 的 功能 特点 。 高 级 程序 设 
计 语 言 ( 如 C、C++ 等 ) 是 从 最 简单 的 计算 机 基本 元 素 开 始 来 构造 数据 结构 和 算法 的 ,而 脚本 
语言 (如 Perl,VBSceript 等 ) 是 以 “粘贴 ”方式 将 系统 已 经 存在 的 一 组 功能 强大 的 构件 连接 起 
来 。 高 级 程序 设计 请 言 是 一 种 强 类 型 的 用 于 复杂 处 理 的 语言 ,而 脚本 语言 是 一 种 无 类 型 的 
只 需 在 构件 之 间 简 单 地 建立 连接 ,实现 快速 应 用 开发 的 工具 语言 。 脚 本 语言 与 高 级 程序 设 
计 语 言 的 另 一 个 不 同 点 是 ,脚本 语言 通常 是 被 解释 执行 ,而 高 级 程序 设计 语言 是 编译 执行 。 

简单 地 说 ,脚本 语言 由 一 组 文本 形式 的 命令 组 成 ,脚本 程序 在 执行 时 是 由 系统 中 的 解释 
器 将 其 逐条 翻译 成 机 器 可 识别 的 指令 ,并 按 程序 顺序 执行 。 正 因为 脚本 程序 在 执行 时 多 了 
一 个 翻译 的 过 程 , 所 以 它 要 比 高 级 程序 设计 语言 开发 的 二 进 制程 序 的 执行 效率 要 低 。 

脚本 (Script) 通 常 可 以 由 应 用 程序 临时 调用 并 执行 。 各 类 脚本 被 广泛 地 应 用 于 Web 网 
页 设计 中 ,因为 脚本 不 仅 可 以 减 小 网 页 的 规模 和 提高 网 页 浏览 速度 ,而 且 可 以 丰富 网 页 的 显 
示 方 式 (如 动画 、 声 音 等 )。 例 如 ,为 了 方便 联系 ,一 些 单位 喜欢 在 单位 网 站 的 显眼 位 置 显示 
单位 或 领导 邮箱 的 链接 , 当 用 户 单 击 网 页 上 的 邮箱 地 址 时 会 自动 调用 本 地 计算 机 上 的 电子 
邮件 客户 端 软件 (如 Outlook Express、Foxmail 等 ) ,这 一 功能 就 是 通过 脚本 来 实现 的 。 

目前 使 用 的 脚本 语言 较 多 (如 JavaScript、VBScript、 ActionScript、MAX Script、 ASP、 
JSP、PHP、SQL、Perl、Shell 等 ) ,但 脚本 语言 的 执行 一 般 只 与 相应 的 解释 器 有 关 , 所 以 只 要 
系统 中 存在 相应 语言 的 解释 器 程序 就 可 以 运行 对 应 的 脚本 程序 。 

2. 脚本 的 攻防 

也 正 是 因为 脚本 具有 语法 和 结构 较为 简单 .脚本 程序 编写 容易 及 不 需要 事先 编译 等 特 
点 ,往往 被 攻击 者 利用 。 例 如 ,在 脚本 中 加 入 一 些 破 坏 计算 机 系统 的 命令 ,这样 当 用 户 浏览 
网 页 时 ,一 旦 调用 这 类 脚本 , 便 会 使 用 户 的 系统 受到 攻击 。 
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用 户 可 以 根据 对 所 访问 网 页 的 信任 程度 选择 安全 等 级 ,特别 是 对 于 那些 信任 度 较 低 的 
网 页 ,更 不 要 轻易 允许 使 用 脚本 。 以 正 浏览 器 为 例 ,可 通过 “安全 设置 ?对 话 框 ,禁用 "脚本 ” 
选项 下 的 部 分 功能 ,如 图 6-4 所 示 。 
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图 6-4 管理 匡 浏 览 器 中 的 脚本 


3. 脚本 病毒 及 防范 方法 

脚本 病毒 是 计算 机 病毒 的 一 种 新 形式 ,主要 采用 脚本 语言 编写 , 它 可 以 对 系统 进行 操 
作 , 包 括 创建 ,修改 、 删 除 ,其 至 格式 化 硬盘 ,具有 传播 速度 快 、 危 害 性 大 等 特点 。 借 助 脚本 语 
言 的 特点 ,脚本 病毒 的 编写 形式 灵活 ,容易 产生 变种 。 目 前 网 络 上 存在 的 脚本 病毒 绝 大 多 数 
都 用 VBScript 或 JavaScript 编写 。 

脚本 病毒 的 检测 与 防范 思路 与 对 传统 病毒 的 检测 与 防范 方法 基本 相同 。 传 统 的 病毒 检 
测 方法 包括 特征 代码 法 、 校 验 和 法 、 行 为 监测 法 、 软 件 模拟 法 等 。 特 征 代码 法 提取 病毒 的 某 
一 小 段 特 征 代 码 进行 识别 ,所 以 对 未 知 病毒 几乎 无 法 预测 ,另外 在 新 增 病 毒 的 数量 不 断 加 大 
的 情况 下 ,病毒 特征 代码 的 数量 也 在 加 大 ,会 影响 检测 速度 ; 校 验 和 法 是 对 文件 作 校 验 和 ， 
并 将 其 保存 ,一 旦 校 验 和 改变 ,就 视 为 异常 ,这 种 检测 方法 依赖 文件 长 度 和 内 容 ,预警 过 于 敏 
感 ,容易 产生 误 报 ; 行为 监测 法 从 理论 上 讲 可 以 监测 到 未 知 病毒 ,但 是 实现 复杂 ,速度 较 低 。 


6.3 针对 Web 浏览 器 Cookie 的 攻防 


Cookie 是 用 来 在 服务 器 上 存放 用 户 信息 的 小 文件 。Cookie 的 提出 是 为 了 解决 HTTP 
协议 的 无 状态 性 ,使 得 HTTP 协议 可 以 识别 上 网 的 用 户 。 但 是 ,这 一 功能 的 实现 却 为 网 络 
攻击 提供 了 一 条 便捷 的 通道 。 
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6.3.1 Cookie 介绍 


Web 应 用 的 实现 基础 是 应 用 层 协议 HTTP, 而 HTTP 本 身 是 一 种 无 状态 (stateless)、 
面向 非 连接 的 协议 ,采用 HTTP 无 法 实现 Web 站 点 之 间 的 交互 。 为 弥补 HTTP 存在 的 不 
足 , 推 出 了 Cookie 这 一 状态 管理 机 制 。Cookie 是 对 HTTP 功能 的 扩展 ,可 以 实现 对 Web 
客户 端 与 Web 服务 器 端 连接 状态 的 管理 。Cookie 一 经 推出 便 引 起 了 用 户 的 普遍 关注 , 目 
前 已 广泛 应 用 于 用 户 身份 认证 ,网 上 购物 、 广 告 投放 、 定 制 用 户 喜欢 的 页 面 等 网 络 活动 中 。 
例如 , 当 用 户 进行 网 购 时 ,一 般 一 个 用 户 需 要 同时 购买 多 个 商品 ,所 以 服务 器 需要 记 住 用 户 
的 身份 ,在 完成 所 有 物品 选 购 ( 放 入 “购物 车 ”) 后 统一 进行 结算 。 

Cookie 技术 最 先 被 Netscape 公司 引入 到 Navigator 浏览 器 中 。 之 后 ,World Wide Web 
协会 支持 并 采纳 了 Cookie 标准 ,微软 公司 也 在 其 浏览 器 Internet Explorer 中 使 用 了 
Cookie。 现 在 , 绝 大 多 数 浏览 器 都 支持 Cookie 或 兼容 Cookie 机 制 的 使 用 。 根 据 Netscape 
的 定义 ,Cookie 是 指 在 HTTP 协议 下 ,服务 器 或 脚本 可 以 维护 客户 端 计算 机 上 信息 的 一 种 
方式 。 具 体 来 讲 , Cookie 是 用 户 在 浏览 Web 站 点 时 ,由 Web 服务 器 的 CGI (Common 
Gateway Interface) .ASP(Active Server Pages) 等 脚本 创建 并 发 送 给 浏览 器 的 体积 很 小 的 
纯 文本 信息 ,在 Web 浏览 器 未 关闭 之 前 它 保 存在 客户 端 计算 机 的 内 存 中 (此 种 Cookie 称 为 
session Cookie) , 当 Web 浏览 器 关闭 后 可 作为 文件 保存 在 客户 端的 硬盘 中 (此 种 Cookie 称 
为 persistent Cookie) 。 当 创建 了 Cookie 后 ,只 要 在 其 有 效 期 内 , 当 用 户 访问 同一 个 Web 服 
务 器 时 浏览 器 首先 要 检查 本 地 的 Cookie, 并 将 其 原样 发 送 给 服务 器 。 这 种 状态 信息 称 为 
“persistent client state http cookie”, 简 称 为 Cookie。 

Cookie 的 工作 机 制 为 : 当 某 一 用 户 浏览 某 个 使 用 Cookie 的 网 站 时 ,该 网 站 的 服务 器 就 
会 为 该 用 户 产生 一 个 唯一 的 标识 符 , 并 以 此 作为 索引 在 服务 器 的 后 端 数据 中 产生 一 个 项 目 。 
接着 ,在 给 该 用 户 的 HTTP 响应 报 文中 添加 一 个 称 为 Set-cookie 的 首部 行 ,首部 字段 名 为 
“Set-cookie”, 其 “ 值 ” 为 服务 器 为 该 用 户 生 成 的 标识 符 。 下 面 是 一 个 首部 行 : 


Set - cookie: cdniid5dd45dfdfddd 


当 该 用 户 收 到 这 个 响应 时 ,所 使 用 的 浏览 器 就 在 它 管理 的 Cookie 文件 中 添加 一 行 , 其 
中 包括 分 配 标识 符 的 服务 器 的 主机 名 和 Set-cookie 后 面 给 出 的 标识 符 。 当 该 用 户 继续 浏览 
这 个 网 站 时 ,每 发 送 一 个 HTTP 请 求 报 文 ,其 浏览 器 就 会 从 其 Cookie 文件 中 取出 这 个 网 站 
的 标识 符 , 并 放 到 HTTP 请 求 报 文 的 Cookie 首部 行 中 ,内 容 形式 如 下 : 


Cookie: cdniid5dd45dfdfddd 


于 是 ,这 个 网 站 就 能 够 跟踪 该 用 户 ( 其 标识 符 为 :cdniid5dd45dfdfddd) 在 该 网 站 上 的 活 
动 ,并 以 时 间 先 后 顺序 进行 记录 。 这 时 .如 果 该 用 户 所 访问 的 是 一 个 购物 网 站 ,服务 器 就 会 
记录 并 维护 一 个 购物 列表 ,供用 户 最 后 进行 结算 。 

如 果 该 用 户 在 一 段 时 间 内 再 次 访问 该 网 站 ,其 浏览 器 会 在 HTTP 请 求 报 文中 继续 使 用 
首部 行 “Cookie: cdniid5dd45dfdfddd” ,服务 器 在 收 到 该 请 求 报 文 后 ,会 根据 该 用 户 之 前 浏 
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览 网 站 的 行为 ,为 其 推荐 相关 的 商品 。 如 果 该 用 户 在 该 网 站 上 使 用 过 信用 卡 支付 ,该 网 站 服 
务 器 也 会 记录 并 保存 该 用 户 的 姓名 ,信用 卡号 码 、 联 系 方式 等 信息 。 这 样 , 当 该 用 户 在 该 网 
站 上 购物 时 ,只 要 使 用 了 相同 的 计算 机 ,由 于 浏览 器 产生 的 HTTP 请 求 报 文中 包含 的 
Cookie 首部 行 与 之 前 的 相同 ,服务 器 就 可 以 利用 Cookie 来 识别 出 用 户 , 以 后 该 用 户 访问 该 
网 站 时 就 不 再 要 求 输入 用 户 名 、 密 码 等 信息 ,从 而 实现 了 一 次 认证 多 次 登录 的 功能 。 


6.3.2 ”Cookie 的 组 成 及 工作 原理 


存储 在 硬盘 中 的 Cookie 文件 格式 为 : 用 户 名 @ 网 站 地 址 [数字 ]. txt, 如 abc@mail. jspi 
[2]. txt。Cookie 文件 的 存放 位 置 与 操作 系统 和 浏览 器 相关 ,这 些 文件 在 Windows 操作 系 
统 中 称 为 Cookie 文件 ,在 Macintosh 操作 系统 中 称 为 Magic Cookie 文件 。 在 Windows XP 
操作 系统 中 ,Cookie 文件 存放 在 C:\Documents and Settings\ 用 户 名 称 ( 用 户 登 录 账 号 )\ 
Cookie 文件 夹 下 。 

1. 由 Web 服务 器 端 生成 的 Set-Cookie 格式 

服务 器 生成 的 Cookie 称 为 Set-Cookie Header, 其 内 容 由 “名 称 - 值 ”对 (name-value 
pairs) 组 成 ,其 基本 格式 如 下 : 


NAME = VALUE; Expires = DATE; Path = PATH; Domain = DOMA IN_NAME;Secure 


其 中 ,不 同 的 项 之 间 以 “;” 分 开 , 在 所 有 的 项 中 ,除了 第 一 项 NAME 二 VALUE 是 必 选 
项 外 ,其 他 部 分 均 为 可 选项 。 每 一 项 的 说 明 如 下 。 

(1) NAME 一 VALUE。 该 项 是 每 一 个 Cookie 都 必须 有 的 组 成 部 分 。 其 中 ,NAME 是 
该 Cookie 的 名 称 ,VALUE 是 该 名 称 的 值 。 需 要 注意 的 是 ,在 NAME=VALUE 项 中 不 含 
分 号 .逗号 和 空格 等 字符 。 

(2) Expires 二 DATE。 该 选项 是 一 个 只 写 变量 , 它 确定 了 Cookie 时 间 的 有 效 期 。 其 书 
写 格式 为 : 星期 几 ,DD-MM-YY HH:MM:SS GMT( 其 中 ,GMT 表示 格林 威 治 时 间 )。 

需要 强调 的 是 : 该 变量 可 以 省 略 。 如 果 省 略 该 变量 时 , 则 Cookie 的 属性 值 不 会 保存 在 
用 户 的 硬盘 ( 称 作 persistent Cookie) 中 ,而 是 保存 在 内 存 ( 称 为 session Cookie) 中 ,Cookie 
信息 将 随 着 浏览 器 的 关闭 而 自动 消失 。 

(3) Domain 一 DOMA IN_NAME。Domain 是 指 该 Cookie 所 在 的 主机 名 或 域名 ,一 般 
为 域名 。Domain 确定 了 哪些 Intranet 或 Internet 域 中 的 Web 服务 器 可 读 取 客户 端 Web 
浏览 器 中 所 存 取 的 Cookie 信息 。 该 选项 是 可 选 的 ,默认 时 系统 自动 设置 Cookie 的 属性 值 
为 该 Web 服务 器 的 域名 。 

(4) Path 王 PATH。Path 定义 了 Web 服务 器 上 能 够 获取 Cookie 的 路 径 , 即 Web 服务 
器 上 的 哪些 页 面 可 获取 服务 器 设置 并 创建 Cookie。 如 果 Path 属性 的 值 为 “/”, 则 该 Web 服 
务 器 上 所 有 的 WWW 资源 均 可 读 取 该 Cookie。 该 选项 的 设置 是 可 选 的 。 默 认 时 ,Path 的 
属性 值 为 Web 服务 器 传 给 浏览 器 的 资源 的 路 径 名 。 通 过 对 Domain 和 Path 这 两 个 变量 的 
有 机 结合 ,可 有 效 地 控制 Cookie 文件 被 访问 的 范围 。 

(5) Secure。 当 Cookie 中 存在 该 变量 时 ,表明 只 有 当 浏览 器 和 Web 服务 器 之 间 的 通信 
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协议 为 加 密 认证 协议 时 浏览 器 才 向 服务 器 提交 相应 的 Cookie。 目 前 所 采用 的 安全 加 密 协 
议 为 一 般 为 SSL/TLS。 

在 具体 操作 中 ,一 个 HTTP 响应 报 文中 可 以 同时 发 送 多 个 Set-Cookie 信息 。 例 如 ， 
CGI 程序 通过 调用 GetCookie() 函数 读 取 HTTP 报头 中 的 Cookie, 通 过 调用 SetCookie() 
函数 对 HTTP 报头 中 的 Cookie 进行 设置 。 

2. 由 Web 客户 端 生 成 的 Cookie 格式 

由 客户 端 生成 的 Cookie Header 由 “NAME 二 VALUE” 对 组 成 ,其 格式 为 ; 


NAME1 = VALUE1[ ; NAME2 = VALUE2] … [ ; NAMEi = VALUEi] 


其 中 ,NAMEi 表示 第 i 个 Cookie 的 名 称 ,VALUEi 表示 其 值 。 这 里 的 NAME 和 对 应 
的 VALUE 与 Set-Cookie 中 的 相同 。 

Web 客户 端 可 以 通过 VBScript、JavaScript 等 脚本 程序 来 对 HTTP 报 文中 的 Cookie 
进行 读 写 操作 。 例 如 ,在 ASP 中 ,Cookie 是 附属 于 Response 对 象 和 Request 对 象 的 数据 集 
合 ,使 用 时 只 需要 在 前 面 加 上 Response 和 Request 即 可 。 

Cookie 机 制 对 Web 客户 端 存放 的 Cookie 在 数量 和 文件 大 小 上 都 进行 了 限制 。 其 中 ， 
每 一 个 Web 客户 端 存放 的 Cookie 数量 不 超过 300 个 ,每 一 个 Cookie 不 超过 4KB, 针 对 每 
一 个 域名 最 多 保存 20 个 Cookie。 

3. Cookie 的 工作 原理 

Cookie 使 用 HTTP 头 部 (Header) 来 传递 和 交换 信息 。Cookie 机 制定 义 了 两 种 HTTP 
的 报 文 头 部 : Set-Cookie Header 和 Cookie Header。 其 中 ,Set-Cookie Header 存放 在 Web 
服务 器 站 点 的 响应 头 部 (Response Header) 中 , 当 用 户 通过 Web 浏览 器 首次 打开 Web 服务 
器 的 某 一 站 点 时 ,Web 服务 器 先 根据 用 户 端 的 信息 创建 一 个 Set-Cookie Header, 并 添加 到 
HTTP 响应 报 文中 发 送 给 Web 客户 端 ， Cookie Header 存放 在 Web 客户 端的 请 求 头 部 
(Request Header) 中 , 当 用 户 通过 Web 浏览 器 再 次 访问 Web 服务 器 的 站 点 (其 实 是 Web 页 
面 ) 时 , Web 浏览 器 根据 要 访问 的 Web 站 点 的 URL 从 客户 端的 计算 机 中 取 回 Cookie ,并 添 
加 到 HTTP 请 求 报 文中 发 送 给 Web 服务 器 。Cookie 的 工作 过 程 如 图 6-5 所 示 , 具 体 描述 
如 下 。 
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图 6-5 ”Cookie 的 工作 过 程 


(1) Web 客户 端 通过 浏览 器 向 Web 服务 器 发 起 连接 请 求 ,通过 HTTP 报 文 请 求 行 中 
的 URL 打开 某 一 Web 页 面 。 
(2) Web 服务 器 接收 到 请 求 后 ,根据 用 户 端 提供 的 信息 产生 一 个 Set-Cookie Header。 
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(3) 将 生成 的 Set-Cookie Header 通过 Response Header 存放 在 HTTP 报 文中 回 传 给 
Web 客户 端 ,建立 一 次 会 话 连接 。 

(4) Web 客户 端 收 到 HTTP 应 答 报 文 后 ,如 果 要 继续 已 建立 的 这 次 会 话 , 则 将 Cookie 
的 内 容 从 HTTP 报 文中 取出 ,形成 一 个 Cookie 文本 文件 储存 在 客户 端 计算 机 的 硬盘 中 或 
保存 在 客户 端 计算 机 的 内 存 中 。 

(5) 当 Web 客户 端 再 次 向 Web 服务 器 发 起 连接 请 求 时 , Web 浏览 器 首先 根据 要 访问 
站 点 的 URL 在 本 地 计算 机 中 寻找 对 应 的 Cookie 文本 文件 或 在 本 地 计算 机 的 内 存 中 寻找 对 
应 的 Cookie 内 容 。 如 果 找 到 , 则 将 此 Cookie 内 容 存 放 在 HTTP 请 求 报 文中 发 给 Web 服 
务 器 。 

(6) Web 服务 器 接收 到 包含 Cookie 内 容 的 HTTP 请 求 后 ,检索 其 Cookie 中 与 用 户 有 
关 的 信息 ,并 根据 检索 结果 生成 一 个 客户 端 所 请 求 的 页 面 应 答 传递 给 客户 端 。 

Web 浏览 器 的 每 一 次 页 面 请 求 (如 打开 新 页 面 . 刷 新 已 打开 的 页 面 等 ) ,都 会 与 Web 服 
务 器 之 间 进 行 Cookie 信息 的 交换 。 


6.3.3 ”Cookie 的 安全 防范 


尽管 Cookie 能 够 简化 用 户 访问 授权 网 站 时 的 操作 过 程 ,不 需要 在 每 次 访问 网 站 时 都 输 
入 登录 信息 ,使 用 户 的 上 网 过 程 更 加 便捷 。 但 是 ,Cookie 的 使 用 为 网 络 安全 带 来 了 隐患 , 主 
要 是 Cookie 的 存在 泄露 了 用 户 信息 。 例 如 , 当 网 站 服务 器 在 记录 了 用 户 的 上 网 信息 后 ,就 
可 能 会 将 这 些 信 息 提交 给 地 下 黑色 产业 链 以 件 取 更 大 的 经 济 利益 。 

其 中 ,在 Set-Cookie 内 容 的 组 成 中 ,只 有 NAME 项 是 必 备 的 , 而 Expires、 Path、 
Domain、Secure 等 项 是 可 选 的 。 对 Cookie 内 容 可 选项 的 灵活 应 用 ,可 以 使 Cookie 适用 于 
各 种 不 同 的 应 用 环境 ,满足 不 同 条 件 下 用 户 的 需求 。 例 如 ,通过 Path 值 的 设置 可 以 限制 
Cookie 在 服务 器 上 的 访问 路 径 , 通 过 对 Expires 值 的 设置 可 以 让 Web 浏览 器 将 Cookie 是 
否 写 人 本 机 的 硬盘 或 设置 Cookie 的 有 效 期 ,通过 对 Secure 项 的 设置 决定 Cookie 在 传输 中 
是 否 采 用 加 密 方式 等 。 对 于 Cookie 的 这 些 可 选项 ,开发 人 员 在 使 用 时 必须 注意 其 安全 性 设 
置 ,否则 将 会 存在 安全 隐患 ,导致 各 类 安全 问题 的 发 生 。 

1.Cookie 域 的 安全 防范 

域 (Domain) 是 Set-Cookie 的 可 选项 ,用 于 确定 哪 一 个 Web 服务 器 上 的 站 点 能 够 访问 
Cookie 中 的 信息 。 如 果 该 项 为 空 , 则 产生 该 Cookie 的 Web 服务 器 上 的 所 有 站 点 都 会 访问 
Cookie 中 的 信息 。 为 了 仅 让 Web 服务 器 上 的 指定 站 点 能 够 访问 对 应 Cookie 中 的 信息 ， 
Cookie 中 的 域 值 不 能 为 空 。 

Cookie 的 另 一 个 特点 是 允许 对 所 有 匹配 域名 的 Web 站 点 进行 访问 ,如 果 将 域 值 设置 
为 jspi. cn, 那 么 根据 域名 自 右 向 左 的 匹配 原则 ,所 有 像 lib. jspi. cn、media. jspi. cn、str. pic. 
top. jspi. cn 等 凡 符合 * .jspi. cn 的 域名 都 匹配 jspi. cn。 如 图 6-6 所 示 ,假设 在 域名 jspi. cn 
上 分 别 创建 了 lib. jspi. cn 和 media. jspi. cn 两 个 Web 站 点 ,其 可 能 出 现 的 安全 问题 描述 
如 下 。 

(1) 用 户 首先 访问 lib. jspi. cn 对 应 的 Web 站 点 。 

(2) lib. jspi. cn 站 点 创建 了 一 个 如 下 的 Set-Cookie。 
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图 6-6 因 Cookie 的 域 值 设 置 不 当 引 起 的 安全 问题 
Set - Cookie:ASP. NET_SessionID = cdniid5dd45dfdfddd; domain = . jspi. cn. 


(3) 将 生成 的 Cookie 添加 到 HTTP 响应 报 文中 ,并 保存 在 Web 客户 端 。 

(4) 该 用 户 需 要 访问 media. jspi. cn 对 应 的 Web 站 点 ,这 时 浏览 器 发 现 主机 名 media. 
jspi. cn 也 匹配 jspi. cn, 所 以 它 给 media. jspi. cn 站 点 发 送 一 个 从 上 次 登录 lib. jspi. cn 时 接 
收 到 的 Cookie: 


Cookie:ASP. NET_SessionID = cdniid5dd45dfdfddd 


(5) media. jspi. cn 站 点 在 接收 到 该 Cookie 信息 时 ,由 于 域名 是 匹配 的 ,因此 没有 对 用 
户 身份 进行 验证 ,而 是 简单 接收 了 该 Cookie。 

(6) 根据 Cookie 信息 直接 返回 所 访问 的 Web 页 面 。 

此 类 型 的 缺陷 可 能 会 将 服务 器 完全 暴露 给 攻击 者 ,攻击 者 可 以 非常 容易 地 通过 模拟 一 
个 具有 相同 后 级 (jspi. cn) 的 域名 站 点 来 窃取 合法 用 户 的 Cookie 信息 。 具 体 的 解决 方法 是 
在 Web 站 点 上 创建 Set-Cookie 时 , 尽 可 能 使 用 完整 的 域 值 ,确保 Web 站 点 对 应 的 域 值 是 唯 
一 的 。 在 实际 应 用 中 ,切记 不 要 直接 为 域 设置 类 似 于 . com、. net\. org 等 值 。 

2. Cookie 信息 在 站 点 上 存储 时 的 安全 防范 

当 用 户 首次 进行 认证 时 ,在 应 用 系统 和 身份 认证 服务 器 上 分 别 生 成 了 相应 的 Cookie。 
之 后 ,在 整个 单 点 登录 的 认证 过 程 中 ,Cookie 会 存储 在 身份 认证 服务 器 、 应 用 系统 的 Web 
站 点 和 Web 客户 端 计算 机 中 ,这 些 Cookie 都 以 明文 方式 存储 ,存在 安全 隐患 ,尤其 是 存储 
在 Web 客户 端 计算 机 中 的 Cookie 的 内 容 有 可 能 会 被 算 改 或 窃取 。 为 解决 这 一 安全 问题 ， 
对 于 存放 在 计算 机 中 的 Cookie 可 进行 加 密 处 理 , 一 般 可 以 采用 DES 或 3DES 等 对 称 加 密 
技术 。 

另外 ,在 使 用 浏览 器 访问 网 站 时 ,可 以 选择 拒绝 使 用 Cookie 功能 。 以 IE11 为 例 , 可 以 
通过 依次 选择 “工具 一 Internet 选项 ”命令 ,打开 如 图 6-7 所 示 的 “Internet 选项 ”对 话 框 ,在 
“隐私 ?选项 卡 中 。 通 过 拖 动 标尺 位 置 来 确定 是 否 或 在 什么 程度 上 接收 Cookie。 
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图 6-7 设置 是 否 或 在 什么 程度 上 接收 Cookie 


6.4 网 页 木马 的 攻防 


随 着 Web 浏览 器 的 发 展 ,其 功能 不 断 丰 富 .但 安全 威胁 越 来 越 突出 。 其 中 ,自从 在 
Web 浏览 器 中 引入 了 JavaApplet、VBScript、JavaScript 等 客户 端 执行 脚本 语言 之 后 ,这 些 
脚本 代码 可 以 在 浏览 器 端 执 行 ,以 此 丰富 了 浏览 器 的 功能 。 与 此 同时 ,攻击 者 利用 浏览 器 所 
具有 的 这 一 机 制 编写 一 些 攻击 脚本 ,来 对 Web 客户 端 实施 攻击 。 如 果 这 些 攻击 脚本 再 利用 
客户 端 软件 存在 的 安全 漏洞 获取 到 对 客户 端 计算 机 的 访问 权限 ,存在 的 安全 威胁 将 会 更 加 
严重 。 网 页 木马 就 是 通过 在 浏览 器 中 植 和 人 木马 程序 从 而 实现 对 Web 客户 端 进行 攻击 的 一 
项 技术 。 

本 节 在 第 4 章 有 关 木 马 和 网 页 木马 相关 知识 的 基础 上 ,从 攻防 角度 继续 介绍 网 页 木马 
的 相关 内 容 。 


6.4.1 网 页 木马 的 攻击 原理 


早期 的 网 络 攻击 对 象 主要 针对 的 是 操作 系统 和 网 络 服务 。 近 年 来 ,一 方面 由 于 Web 应 
用 得 到 快速 发 展 ,原来 大 量 的 基于 传统 C/S 模式 的 应 用 逐渐 迁移 到 了 B/S 模式 , Web 浏览 
器 成 为 客户 端 应 用 软件 的 主流 ; 另 一 方面 由 于 防火 墙 \ 入 侵 检 测 和 入 侵 防 御 等 安全 系统 的 
部 署 ,针对 网 络 服务 器 的 攻击 难度 逐渐 加 大 。 在 此 情况 下 ,利用 Web 浏览 器 存在 的 安全 漏 
洞 的 攻击 行为 更 加 普遍 。 
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1. 网 页 木马 攻击 的 基本 特征 

从 技术 本 质 来 看 ,网 页 木马 主要 利用 了 Web 浏览 器 软件 中 所 支持 的 客户 端 脚本 执行 能 
力 , 通 过 对 Web 浏览 器 软件 安全 漏洞 的 利用 而 对 客户 端 实施 渗透 攻击 ,在 获取 了 对 客户 端 
主机 的 远程 代码 执行 权限 后 再 植 和 人 木马 程序 ,进而 发 起 有 针对 性 的 攻击 。 从 发 展 历程 来 看 ， 
网 页 木马 是 针对 网 络 服务 的 一 种 攻击 行为 ,只 是 早期 的 攻击 主要 针对 的 是 服务 器 软件 ,而 网 
页 木马 则 主要 针对 的 是 Web 浏览 器 软件 。 

为 此 ,可 以 将 网 页 木马 定义 为 对 Web 浏览 器 软件 进行 客户 端 渗透 攻击 的 一 种 恶意 代 
码 ,一 般 通过 网 页 脚本 语言 来 实现 ,这 些 脚本 语言 主要 有 JavaScript 和 VBScript, 也 包括 以 
Flash、PDF 客户 端 应 用 软件 而 恶意 构造 的 Web 文件 ,通过 对 Web 浏览 器 软件 中 安全 漏洞 
的 利用 来 获得 客户 端 计算 机 的 控制 权限 ,并 植 入 恶意 程序 。 

需要 说 明 的 是 : 本 节 所 介绍 的 网 页 木马 是 指 Web 脚本 形式 的 木马 ,而 不 是 传统 意义 上 
的 可 执行 文件 形式 的 木马 ,也 不 是 指 笠 入 网 页 中 的 木马 。 因 为 嵌入 式 木马 最 终 还 是 下 载 和 
调用 传统 的 木马 来 执行 。 随 着 人 们 安全 意识 的 增强 ,可 执行 文件 形式 的 木马 受到 Web 服务 
器 的 限制 ,致使 这 种 形式 的 木马 已 无 用 武之 地 。 而 网 页 木马 比 传统 的 木马 更 简洁 和 灵活 ,而 
且 隐 蔽 性 好 ,存在 的 危害 性 更 大 。 

网 页 森马 本 身 是 一 种 新 形态 的 恶意 代码 ,目的 在 于 使 客户 端 自动 下 载 、 执 行 恶意 程序 。 
在 网 页 木马 典型 的 攻击 流程 中 涉及 两 种 不 同类 型 的 恶意 代码 形态 : 作为 攻击 对 象 的 
JavaScript、VBScript、CSS 等 页 面 元 素 , 以 及 最 终 被 下 载 .执行 的 恶意 程序 ,这 两 种 形态 分 别 
对 应 于 客户 端 感染 的 两 个 阶段 : 漏洞 利用 阶段 和 恶意 程序 执行 阶段 。 

(1) 漏洞 利用 阶段 。 网 页 木马 被 客户 端 加 载 后 ,攻击 代码 利用 内 存 破坏 类 漏洞 将 执行 
流 跳 转 到 ShellCode 或 者 直接 利用 任意 下 载 API, 在 客户 端 下 载 、 执 行 盗号 木马 或 僵尸 程序 

(2) 恶意 程序 执行 阶段 。 下 载 的 盗号 木马 或 僵尸 程序 等 恶意 程序 ,窃取 客户 端的 账号 
等 隐私 信息 或 使 客户 端 成 为 “肉鸡 ?加 入 僵尸 网 络 。 

网 页 木马 以 HTML 页 面 作为 攻击 代码 的 载体 ,在 浏览 器 加 载 , 浑 染 HTML 页 面 时 利 
用 浏览 器 及 其 插件 的 漏洞 实现 恶意 程序 的 下 载 .执行 。 近 年 来 ,攻击 者 开始 在 PDF 和 Flash 
等 文档 中 嵌 和 人 恶意 脚本 ,利用 PDF 和 Flash 阅读 器 的 漏洞 来 下 载 、 执 行 恶 意 程序 。 攻 击 代 
码 的 载体 已 经 从 HTML 页 面 扩展 到 PDF 和 Flash 等 文档 。 通 过 PDF 文档 进行 的 客户 端 
攻击 方式 已 经 呈现 出 上 升 的 趋势 。 虽 然 PDF 和 Flash 在 文档 格式 上 与 HTML 页 面 有 所 区 
别 , 但 攻击 手段 本 质 上 都 是 在 文档 中 嵌入 恶意 脚本 等 攻击 代码 ,再 利用 浏览 器 或 阅读 器 中 存 
在 的 安全 漏洞 实现 恶意 程序 的 自动 下 载 和 执行 。 

攻击 者 在 网 页 中 嵌入 恶意 代码 , 当 用 户 访问 该 网 页 时 ,嵌入 的 恶意 代码 利用 浏览 器 本 身 
或 者 Flash 等 插件 的 漏洞 ,在 用 户 不 知情 的 情况 下 下 载 并 执行 恶意 木马 。 例 如 ,2015 年 被 
发 现 的 针对 Flash 的 高 危 安 全 漏洞 CVE-2015-5122 和 CVE-2015-5119, 已 经 成 为 大 量 挂 马 
程序 的 “靶子 ”。 与 微软 漏洞 不 同 , 作 为 一 种 浏览 器 插件 ,Flash 版 本 的 更 新 和 漏洞 修复 并 没 
有 有 效 的 定期 推送 机 制 ,往往 只 能 依赖 于 浏览 器 及 相关 软件 厂商 (很 多 软件 自 带 网 页 播放 功 
能 ) ,或 者 是 用 户 自主 的 手动 更 新 ,而 且 即 便 是 有 的 浏览 器 给 出 了 Flash 插件 的 升级 提示 ,很 
多 用 户 也 会 视而不见 。 这 就 使 得 Flash 漏洞 的 潜伏 时 间 可 能 比 微软 漏洞 的 长 ,给 攻击 者 留 
下 了 充分 的 空间 。 
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2. 网 页 木马 的 攻击 模式 

网 页 木马 是 一 种 基于 Web 的 客户 端 攻 击 方式 ,是 在 传统 木马 .计算 机 病毒 等 基础 上 发 
展 而 来 的 一 种 新 形态 的 恶意 代码 。 但 与 传统 木马 和 计算 机 病毒 相 比 ,网 页 木马 是 一 种 基于 
Web 的 被 动 攻击 模式 。 

针对 服务 器 端的 渗透 攻击 属于 一 种 主动 攻击 行为 ,攻击 者 需要 事先 对 服务 器 进行 扫描 ， 
在 收集 到 被 攻击 对 象 的 漏洞 信息 后 再 实施 下 一 步 的 攻击 过 程 。 而 针对 Web 浏览 器 的 攻击 
属于 一 种 被 动 攻击 行为 ,需要 事先 构造 恶意 的 Web 页 面 内 容 , 然 后 通过 一 些 技术 手段 或 社 
会 工程 学 方法 诱 使 用 户 来 访问 网 页 木马 页 面 。 攻 击 者 通过 网 页 挂 马 手段 将 网 页 木马 广泛 植 
入 Web 服务 器 端的 HTML 页 面 中 ,并 采用 “守株待兔 "的 被 动 方 式 等 待 客户 端 在 浏览 被 挂 
马 页 面 时 加 载 网 页 木马 。 

随 着 互联 网 的 快速 发 展 , Web 应 用 成 为 主流 ,网 页 访问 量 呈 爆炸 式 增长 ,这 种 基于 Web 
的 被 动 攻击 模式 使 网 页 木马 能 够 十 分 隐蔽 并 有 效 地 感染 大 量 客户 端 。 网 页 木马 以 
JavaScript 等 页 面 元 素 作 为 攻击 对 象 ,以 HTML 页 面 作为 攻击 代码 的 载体 发 起 对 客户 端的 
攻击 。 攻 击 者 通过 灵活 多 变 的 手段 来 隐蔽 自身 ,如 对 脚本 进行 混 清 以 掩盖 攻击 意图 并 躲避 
检测 ,并 采用 人 机 识别 动态 域名 解析 等 手段 来 躲避 防御 方 的 检测 与 反 制 。 

恶意 Web 页 面 的 构造 主要 借助 于 脚本 语言 来 实现 , 它 是 实施 网 页 木马 攻击 的 最 核心 部 
分 。 除 此 之 外 ,还 需要 将 用 户 诱导 到 该 页 面 , 只 有 在 用 户 访问 了 该 页 面 后 才 会 执行 木马 程 
序 。 一 般 情 况 下 ,攻击 者 会 在 选取 了 存在 安全 漏洞 的 Web 站 点 后 植 人 网 页 木马 程序 (一 般 
还 会 同时 植 和 人 其 他 的 木马 程序 ,如 盗号 木马 ) ,将 其 作为 攻击 过 程 中 的 木马 宿主 站 点 ,然后 通 
过 在 大 量 网 站 中 嵌入 恶意 链接 将 用 户 访问 重 定向 到 网 页 木马 ,从 而 构成 一 个 网 页 木马 攻击 
网 络 。 当 不 明 真 相 的 用 户 在 访问 了 含有 木马 程序 的 网 站 后 ,就 会 自动 地 链接 网 页 木马 并 遭 
受 攻击 ,成 为 网 页 木马 的 受害 者 。 

另外 , 随 着 近年 来 殴 诈 者 病毒 在 国内 的 快速 增长 ,攻击 者 已 经 将 网 页 挂 马 和 敲 诈 者 病毒 
进行 结合 形成 一 种 新 的 组 合 攻击 模式 。 由 于 项 诈 者 病毒 的 攻击 门槛 低 , 溯 源 难 ,收益 高 , 造 
成 了 斋 诈 者 病毒 的 大 量 传播 ,而 挂 马 攻 击 又 是 各 类 木马 传播 的 最 常用 的 方式 ,因此 敲诈 者 病 
毒 的 攻击 者 开始 大 量 地 向 挂 马 攻击 者 购买 挂 马 服务 ,从 而 间接 推动 了 挂 马 黑色 产业 的 活跃 
度 ,并 使 得 挂 马 攻击 成 为 敲诈 者 病毒 发 动 攻击 的 主要 方式 。 


6.4.2 网 页 挂 马 的 实现 方法 


网 页 挂 马 是 通过 内 嵌 链 接 将 攻击 脚本 或 攻击 页 面 谋 入 到 一 个 正常 页 面 或 利用 重 定向 机 
制 将 对 正常 页 面 的 访问 重 定向 到 攻击 页 面 。 

1. 内 获 链 接 

内 嵌 链 接 是 HTML 页 面 中 一 类 特殊 的 超 链接 形式 ,其 特点 是 : 当 浏 览 器 访问 页 面 时， 
无 论 用 户 是 否 进 行 了 单 击 ,页 面 中 的 内 嵌 链 接 指向 的 内 容 都 会 被 自动 加 载 , 被 加 载 的 对 象 如 
< img > 标签 等 。 

攻击 者 进行 网 页 挂 马 时 ,经常 利用 的 内 艇 链接 为 带 有 src 属性 的 < iframe >、<frame > 和 
< script > 标签 。 浏 览 器 访问 页 面 时 ,< script > 标签 的 src 属性 指向 的 脚本 将 作为 内 嵌 脚 本 
被 自动 加 载 并 执行 ,< iframe >、< frame > 等 标签 的 src 属性 指向 的 页 面 也 将 作为 内 骨 页 面 被 
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自动 加 载 。 

由 于 Web 实现 技术 的 多 样 性 ,基于 内 各 链接 方式 的 网 页 挂 马 实现 方法 较 多 ,最 常见 的 
有 以 下 3 种。 

1) 内 骨 HTML 标签 

HTML 标签 是 HTML 语言 中 最 基本 的 单位 ,主要 格式 如 下 : 


<html> 
<head> 


* 文 档 的 头 部 , .… 
es 
<body> 

* 文档 的 主体 ，… 


</body> 
</html > 


在 内 由 HTML 标签 中 ,frame 和 iframe 的 应 用 具有 特殊 性 ,都 可 以 在 一 个 HTML 文 
档 中 幅 入 另 一 个 HTML 文档 ,例如 (以 iframe 为 例 ) : 


< htm]l > 
< head></head> 
<body> 
< iframe src = "abc. html"></iframe> 
</body> 
</html> 


利用 此 功能 ,攻击 者 可 以 将 网 页 木马 链接 嵌入 到 网 站 首页 或 其 他 页 面 中 。 为 了 更 好 地 
隐蔽 被 嵌入 的 网 页 木马 ,攻击 者 一 般 会 利用 层次 嵌 套 的 内 嵌 标 签 , 引 入 一 些 中 间 的 跳 转 站 点 
并 进行 混淆 ,为 网 页 木马 的 检测 和 追踪 增加 难度 。 

由 于 在 HTML5 中 不 再 支持 < frame > 标签 ,因此 目前 内 嵌 标 签 中 大 量 使 用 iframe。 
iframe 的 功能 是 在 页 面 中 创建 一 个 内 榜 框 架 (框架 便 是 将 网 页 面 面 分 成 几 个 窗口 ,每 个 窗口 
对 应 一 个 URL, 利 用 框架 可 以 在 一 个 页 面 中 同时 访问 多 个 URL), 用 于 包含 和 显示 其 他 
HTML 文档 的 内 容 , 当 在 浏览 器 中 打开 包含 内 嵌 框 架 的 HTML 页 面 时 ,被 包含 在 内 嵌 框 架 
中 的 URL 也 会 在 各 自 的 框架 中 被 自动 打开 。 攻 击 者 利用 < iframe > 标签 的 这 一 特征 ,可 以 
直接 或 间接 地 插入 网 页 木马 ,并 将 标签 的 width 和 height 属性 设置 为 0( 不 可 见 ) 来 避免 被 
挂 马 的 页 面 在 视觉 效果 上 发 生变 化 。 例 如 : 





< iframe src = "abc. html" width= "0" height = "0" frameborder = "0"> </iframe> 


其 中 ,abc. html 为 被 挂 木马 页 面 的 URL。 

2) 内 嵌 对 象 链接 

内 嵌 对 象 链接 是 利用 Flash 等 工具 内 骨 对 象 中 的 特定 功能 来 实现 指定 页 面 加 载 的 一 种 
方法 。 例 如 ,利用 Flash 脚本 中 的 LoadMovie() 函 数 可 以 动态 地 从 外 部 加 载 SWF、JPG 等 
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图 片 文件 ,从 而 减少 主 文件 的 大 小 ,有 利于 快速 浏览 ,还 可 以 对 被 加 载 的 图 片 文件 根据 需要 
进行 修改 或 更 换 。 这 样 ,只 需要 把 主 文件 和 待 加 载 的 图 片 文件 上 传 到 指定 的 空间 ,就 可 以 方 
便 地 实现 只 下 载 主 文件 ,如 果 需 要 浏览 图 片 文件 时 再 单独 下 载 ,以 提高 网 页 浏览 的 效率 , 提 
升 用 户 的 体验 。 

如 果 整 个 Flash 网 页 不 分 主 次 ,全 部 集中 在 一 个 达到 几 兆 字 节 大 小 的 Flash 文件 中 , 即 
使 内 容 再 好 的 页 面 , 谁 还 有 耐心 等 着 看 呢 ! 使 用 LoadMovie() 函数 可 以 将 外 部 SWF 文件 
载 人 到 某 一 层 上 ,或 将 外 部 SWF 文件 载 人 到 时 间 轴 的 某 个 影片 剪辑 中 。 基 于 此 功能 ,攻击 
者 可 以 编写 一 些 包含 网 页 木马 链接 的 SWF 或 JGP 等 文件 ,再 将 其 作为 被 LoadMovie() 隐 
数 加 载 的 外 部 文件 ,从 而 实现 挂 马 攻 击 。 

3) 恶意 Script 脚本 

利用 Script 脚本 标签 通过 外 部 引用 脚本 的 方式 来 实现 网 页 木马 是 网 页 挂 马 中 最 常用 的 
一 种 方法 。 例 如 ,< script src 二 "URL to abc. html">, 其 中 abc. html 为 被 挂 木马 页 面 的 
URL。 另 外 , 跳 转 脚本 通常 使 用 document. write 动态 生成 包含 网 页 木马 链接 的 iframe 内 
嵌 标 签 ,或 使 用 window. open() 函数 弹出 一 个 新 HTML 窗口 链接 网 页 木马 进行 攻击 。 
例如 : 


< htm]l > 
< head> 
< script type = "text/javascript"> 
function open_win() 
{ 
window. open("http://www.abc.com.cn") 
</script> 
</head> 
<body> 
< input type = button value = "Open Window" onclick = "open_win()" /> 
</body> 
</html > 


可 以 在 新 浏览 器 窗口 中 打开 www. abc. com. cn ,如果 www. abc. com. cn 是 一 个 网 页 木 
马 ,就 可 以 在 新 浏览 器 窗口 弹出 的 过 程 中 进行 攻击 。 

2. 网 页 动态 视图 

网 页 动态 视图 是 指 浏览 器 处 理 被 访问 页 面 时 所 加 载 的 所 有 内 插页 面 . 内 髋 脚本 的 层次 
关系 图 。 在 传统 的 针对 Web 服务 器 的 攻击 中 ,攻击 者 通常 利用 网 站 服务 器 的 漏洞 获得 相应 
权限 来 算 改 页 面 `. 嵌 入 攻击 脚本 或 攻击 页 面 , 但 这 种 方式 很 难 适用 于 那些 安全 防御 比较 严密 
的 站 点 。 

由 于 浏览 器 在 访问 页 面 时 会 加 载 其 整个 动态 视图 ,攻击 者 可 将 攻击 脚本 或 攻击 页 面 挂 
载 到 页 面 动 态 视 图 中 的 任意 位 置 来 进行 网 页 挂 马 。 在 第 三 方 流量 统计 、 广 告 位 等 处 嵌入 攻 
击 脚本 或 攻击 页 面 , 是 攻击 者 对 一 些 门户 网 站 页 面 进行 挂 马 的 常用 手段 。 如 图 6-8 所 示 ,网 
站 C 的 一 个 提供 流量 统计 服务 的 页 面 是 网 站 A 的 首页 动态 视图 的 一 部 分 ,攻击 者 通过 
< iframe > 标签 将 攻击 页 面 挂 载 到 这 个 流量 统计 页 面 中 (图 6-8 中 的 虚线 箭头 )。 如 果 网 站 
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A 的 首页 被 挂 马 , 由 于 内 府 链 接 的 自动 加 载 存在 递归 性 ( 即 内 赃 页 面 中 的 内 赃 链 接 也 会 被 
自动 加 载 ) ,客户 端 在 访问 网 站 A 的 首页 时 会 自动 加 载 流量 统计 页 面 ,随后 也 会 加 载 流 量 统 
计 页 面 中 嵌入 的 攻击 页 面 。 





首页 (被 挂 马 ) 


图 6-8 基于 网 页 动态 视图 的 木马 感染 途径 


虽然 网 页 挂 马 是 对 网 站 服务 器 中 的 页 面 进行 自 改 ,但 攻击 者 进行 网 页 挂 马 的 目的 在 于 
攻击 客户 端 ,浏览 器 在 访问 被 挂 马 页 面 时 ,依照 感染 链 将 攻击 脚本 或 攻击 页 面 加 载 到 客户 
端 ,最 终 让 客户 端 自 动 下 载 ,执行 恶意 程序 。 

网 页 挂 马 已 经 成 为 攻击 者 在 部 署 网 页 木马 时 普遍 采用 的 手段 。 一 方面 ,与 通过 社会 工 
程 学 手段 诱 使 用 户 直 接 访问 攻击 页 面相 比 ,网 页 挂 马 使 客户 端 在 访问 被 挂 马 页 面 时 按照 网 
页 木马 感染 途径 自动 加 载 攻击 脚本 或 攻击 页 面 ,有 更 好 的 隐蔽 性 ; 另 一 方面 ,攻击 者 通过 一 
定 的 挂 马 策略 可 以 很 好 地 保证 攻击 脚本 或 攻击 页 面 在 客户 端的 加 载 量 。 例 如 ,对 热点 事件 
有 关 页 面 进行 挂 马 ,对 门户 网 站 首页 等 访问 量 大 的 页 面 进行 挂 马 等 。 


6.4.3 网 页 木马 关键 技术 


网 页 木马 以 页 面 为 攻击 对 象 .是 一 种 基于 Web 的 客户 端 攻击 方式 。 从 恶意 代码 的 特征 
来 分 析 ,网 页 木马 是 一 种 新 形态 的 恶意 代码 ,其 组 成 和 结构 与 蠕虫 .计算 机 病毒 等 恶意 代码 
有 很 大 区 别 。 在 这 种 新 的 攻击 形态 中 ,攻击 者 经 常 使 用 一 些 灵活 多 变 的 技术 和 手段 来 提高 
网 页 木马 攻击 的 成 功率 ,并 可 以 躲避 防御 方 的 检测 与 反 制 。 

1. 提高 网 页 木马 攻击 性 的 技术 

网 页 挂 马 虽然 使 客户 端 访 问 被 挂 马 页 面 时 自动 加 载 攻击 脚本 或 攻击 页 面 ,但 却 无 法 保 
证 攻击 脚本 或 攻击 页 面 被 客户 端 加 载 后 一 定 能 攻击 成 功 。 这 是 因为 : 一 方面 ,攻击 页 面 或 
攻击 脚本 针对 的 漏洞 一 般 只 存在 于 特定 版 本 的 浏览 器 和 插件 中 ,而 客户 端 浏览 环境 各 异 ,如 
果 攻 击 对 象 与 客户 端 浏览 环境 不 匹配 ,就 会 导致 攻击 失败 ; 男 一 方面 ,即使 客户 端 浏览 环境 
中 存在 相关 漏洞 ,但 操作 系统 防御 技术 的 不 断 升级 ,使 得 该 漏洞 被 成 功利 用 变 得 更 加 困难 。 

在 攻击 过 程 中 ,攻击 者 为 了 应 对 客户 端 浏览 环境 的 多 样 性 ,需要 采用 一 种 all-in-one( 一 
体 化 ) 的 方式 将 针对 不 同 漏洞 的 攻击 代码 全 部 包含 在 单个 攻击 页 面 中 。 但 这 种 方式 导致 大 
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量 攻击 代码 在 浏览 器 中 执行 ,会 使 浏览 器 反应 较 正 常 状态 下 迟缓 ,容易 引起 用 户 的 警觉 。 

为 了 在 提高 网 页 木马 的 攻击 效率 和 成 功率 的 同时 保证 攻击 的 隐蔽 性 ,攻击 者 采用 了 “一 
个 探测 页 面 十 多 个 攻击 脚本 /攻击 页 面 ?的 “环境 探测 十 动态 加 载 ?模式 。 在 这 一 模式 中 ,一 
个 攻击 脚本 或 攻击 页 面 仅 攻击 单个 漏洞 ,攻击 者 拥有 针对 不 同 漏洞 的 攻击 脚本 或 攻击 页 面 。 
探测 页 面 中 的 脚本 能 够 利用 浏览 器 提供 的 JavaScript API 对 客户 端 浏 览 器 版 本 、 插 件 版 本 
等 进行 探测 ,并 使 用 DOM(Document Object Model ,文档 对 象 模型 ) API( 如 document. 
write 等 ) 动 态 加 载 与 探测 结果 相对 应 的 攻击 脚本 或 攻击 页 面 。 

“环境 探测 十 动态 加 载 ? 型 网 页 木马 中 充分 利用 了 JavaScript 等 客户 端 脚本 的 灵活 性 ， 
能 够 根据 客户 端的 不 同 配置 动态 地 .有 选择 地 加 载 不 同 的 攻击 脚本 或 攻击 页 面 。 这 种 方式 
提高 了 网 页 木马 对 不 同 客户 端 浏 览 环境 的 攻击 成 功率 ,同时 也 保证 了 攻击 的 效率 和 隐蔽 性 。 

2. 增强 网 页 木马 自身 隐蔽 性 的 技术 

网 页 木马 是 一 个 或 一 组 有 链接 关系 、 含 有 用 JavaScript 等 脚本 语言 编写 的 恶意 代码 的 
HTML 页 面 ,页 面 间 通 过 复杂 的 结构 与 多 种 灵活 机 制 相 关联 ,更 容易 隐蔽 自身 以 绕 过 检测 。 
通常 情况 下 ,攻击 者 通过 混淆 免 杀 、 人 机 识别 ,动态 域名 解析 等 技术 手段 来 躲避 检测 与 追踪 。 

(1) 混 消 免 杀 。 为 了 躲避 专业 软件 的 检测 ,攻击 者 经 常 对 攻击 脚本 进行 混 消 处理 ,以 消 
除 其 原 有 的 特征 。 具 体 的 混淆 方式 主要 有 以 下 几 种 。 

Q@ 将 字符 串 中 填充 大 量 垃圾 字符 。 

@ 采用 十 六 进 制 编码 。 

@ Unicode 编码 。 

@ escape 函数 编码 。 

@ 一 些 字符 串 处 理 函 数 。 

除 采用 以 上 单一 方式 外 ,还 可 以 对 一 段 脚本 进行 多 次 混淆 。 网 页 木马 利用 脚本 的 动态 
特性 ,在 解释 执行 混淆 脚本 的 过 程 中 逐步 还 原 出 攻击 脚本 的 真实 形态 ,如 用 正则 表达 式 来 代 
替 或 去 掉 垃圾 字符 。 攻 击 者 经 常 使 用 混淆 免 杀 机 制 来 对 抗 一 些 基于 静态 特征 的 检测 。 

(2) 人 机 识别 。 为 了 躲避 防御 方 的 自动 化 检测 ,网 页 木马 还 常常 采用 一 些 人 机 识别 手 
段 ,认定 客户 端 是 人 工 浏览 行为 (如 用 户 单 击 某 按钮 之 后 才 触 发 攻击 ) 后 再 触发 进一步 的 

(3) 动态 域名 解析 。 对 于 缺乏 固定 公 网 IP 地 址 的 网 站 来 说 ,动态 域名 解析 是 目前 比较 
常见 的 一 种 DNS 解析 技术 ,即将 一 个 域名 解析 到 一 个 动态 变化 的 IP 地 址 上 。 攻 击 者 滥用 
动态 域名 解析 服务 ,一 般 会 申请 大 量 免费 动态 域名 ,再 根据 动态 域名 解析 机 制 随意 改变 网 页 
木马 宿主 站 点 的 位 置 而 不 影响 用 户 通过 域名 对 攻击 页 面 的 访问 。 采 用 动态 域名 解析 的 这 种 
“流窜 作案 ?方式 增加 了 防御 方 的 追踪 难度 。 网 页 木马 为 了 躲避 检测 并 增加 隐 项 性 ,还 采用 
了 多 种 其 他 机 制 。 例 如 ,使 用 随机 的 URL 参数 来 躲避 黑 名 单 过 滤 , 将 JavaScript 和 
VBScript 混用 来 躲避 基于 单一 脚本 分 析 的 检测 等 。 

相 比 传统 的 计算 机 病毒 ,网 页 木马 具有 独特 的 、 复 杂 的 结构 和 多 种 灵活 机 制 ,更 容易 绕 
过 检测 与 追踪 ,能 够 更 隐蔽 地 进行 大 规模 的 感染 ,因此 具有 更 大 的 危害 性 。 


6.4.4 网 页 木马 的 防范 方法 
网 页 木马 是 一 种 部 署 在 网 站 服务 器 中 、 针 对 客户 端 实施 的 攻击 。 如 何在 网 页 木马 部 署 、 
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实施 攻击 的 各 个 阶段 对 其 进行 有 效 处 置 ,是 防范 网 页 木马 的 研究 重点 。 

攻击 者 通过 网 页 挂 马 将 网 页 木马 挂 载 到 可 信和 度 较 高 的 页 面 中 ,客户 端 在 访问 这 些 被 挂 
马 页 面 时 ,攻击 页 面 或 攻击 脚本 作为 被 挂 马 页 面 动态 视图 的 一 部 分 被 自动 加 载 并 利用 浏览 
器 的 漏洞 在 客户 端 下 载 、 执 行 僵 尸 程序 等 各 类 恶意 可 执行 代码 。 整 个 感染 过 程 由 客户 端 访 
问 被 挂 马 页 面 时 开始 ,并 隐蔽 在 用 户 正常 的 页 面 浏览 活动 中 ,这 种 感染 方式 与 蠕虫 等 相 比 ， 
能 够 更 加 隐藏 有 效 地 将 恶意 程序 植 和 人 客户 端 。 

1. 网 站 服务 器 端 网 页 挂 马 的 防范 方法 

为 了 提高 攻击 脚本 或 攻击 页 面 在 客户 端的 加 载 量 ,并 增强 其 隐蔽 性 ,最 大 范围 地 发 挥 攻 
击 能 力 , 攻 击 者 就 需要 对 互联 网 上 的 大 量 页 面 进行 网 页 挂 马 。 为 此 ,网 站 服务 器 端的 挂 马 防 
范 就 成 为 网 页 木马 防范 中 一 个 非常 重要 的 环节 。 目 前 ,有 许多 途径 可 以 实现 在 网 站 服务 器 
端的 挂 马 , 同 时 也 可 采用 相应 的 措施 对 其 进行 防范 ,本 节 主 要 介绍 常见 的 3 种 方法 。 

(1) 利用 网 站 服务 器 系统 漏洞 。 利 用 网 站 服务 器 端 系统 漏洞 来 算 改 网 页 内 容 是 最 常见 
的 一 种 网 页 挂 马 途径 。 在 这 一 挂 马 方式 中 ,攻击 者 首先 通过 漏洞 扫描 方式 发 现 网 站 服务 器 
上 的 系统 漏洞 ,然后 利用 该 漏洞 获得 了 相应 网 站 服务 器 操作 权限 后 ,再 进行 页 面 的 算 改 。 网 
站 服务 器 端 可 以 通过 及 时 安装 系统 补丁 程序 及 部 署 一 些 人 侵 检 测 系统 来 增强 自身 的 安 
全 性 。 

(2) 利用 内 容 注 入 等 应 用 程序 漏洞 。 攻 击 者 经 常 利用 应 用 程序 中 的 XSS(Cross Site 
Script, 跨 站 脚本 ) .SQL 注入 等 漏洞 ,将 恶意 内 艇 链接 嵌入 到 页 面 中 。 由 于 XSS、 SQL 注入 
等 内 容 注 入 攻击 是 由 于 网 站 服务 器 与 浏览 器 对 用 户 提交 的 内 容 理解 不 一 致 所 造成 的 。 因 此 
最 有 效 的 防范 方法 是 使 浏览 器 直接 按照 网 站 服务 器 对 用 户 输入 的 理解 进行 页 面 泻 染 。 有 关 
XSS 和 SQL 注入 的 防范 方法 可 参考 第 5 章 中 的 相关 内 容 。 

(3) 通过 广告 位 和 流量 统计 等 第 三 方 内 容 挂 马 。 随 着 Web 应 用 功能 越 来 越 丰 富 ,攻击 
者 挂 马 的 途径 也 在 不 断 发 生 着 变化 。 目 前 ,除了 利用 网 站 服务 器 本 身 的 系统 漏洞 及 应 用 服 
务 中 的 注入 漏洞 实现 网 页 挂 马 外 ,攻击 者 还 可 通过 网 页 中 的 广告 位 及 流量 统计 等 第 三 方 内 
容 进行 网 页 挂 马 。 为 了 有 效 防 范 通 过 网 页 中 的 广告 位 和 流量 统计 方式 实现 网 页 挂 马 , 除 了 
应 关注 系统 和 应 用 程序 存在 的 安全 漏洞 外 ,还 需要 对 页 面 中 的 第 三 方 内 容 进行 必要 的 安全 
审计 。 

2. 基于 代理 的 网 页 木马 防范 方法 

基于 代理 的 网 页 木马 防范 是 在 页 面 被 客户 端 浏 览 器 加 载 之 前 ,首先 在 一 个 代理 空间 ( 相 
当 于 一 个 大 容量 的 缓存 ) 中 对 页 面 进行 必要 的 检测 或 处 理 , 在 确保 安全 后 再 传 给 Web 浏览 
器 进行 内 容 显 示 。 

客户 端 访问 的 任何 页 面 都 首先 在 该 代理 处 用 基于 行为 特征 的 检测 方法 进行 网 页 木马 检 
测 ,如 果 判 定 访问 的 页 面 被 挂 马 ,就 给 客户 端 返回 一 个 警告 信息 。 目 前 ,基于 代理 技术 的 网 
页 木马 防范 技术 发 展 非常 迅速 ,具体 的 实现 方法 也 比较 多 ,其 中 "检测 - 阻 断 式 是 常见 的 一 
种 。“ 检 测 - 阻 断 ” 即 通过 基于 反 病 毒 引 擎 扫描 、 基 于 行为 特征 的 检测 、 基 于 漏洞 模拟 的 检测 
等 网 页 挂 马 检测 方法 ,在 代理 处 进行 网 页 木马 检测 ,如 果 发 现 页 面 存在 网 页 木马 , 则 阻 断 客 
户 端 对 该 页 面 的 加 载 。 

通过 “检测 - 阻 断 ” 式 的 网 页 木马 防范 方法 ,如 果 要 做 到 检测 的 有 效 性 和 用 户 体 验 的 透明 
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性 ,就 必须 在 代理 处 有 效 检测 出 被 挂 马 页 面 并 阻止 客户 端 浏览 器 加 载 该 页 面 的 同时 ,也 不 能 
使 客户 端 在 用 户 体验 上 有 明显 差别 。 也 就 是 说 ,代理 技术 的 存在 对 用 户 来 说 是 透明 的 。 

3. 客户 端 网 页 木马 的 防范 方法 

从 技术 上 讲 ,客户 端 网 页 木马 的 防范 可 以 采用 以 下 方法 来 实现 。 

(1) 设置 URL 黑 名 单 。 以 Google 搜索 引擎 的 安全 应 用 为 例 ,Google 将 基于 页 面 静态 
特征 进行 机 器 学 习 的 检测 方法 与 基于 行为 特征 的 检测 方法 相 结合 ,对 其 索引 库 中 的 页 面 进 
行 检测 ,生成 一 个 被 挂 马 网 页 的 URL 黑 名 单 ,Google 搜索 引擎 会 对 包含 在 URL 黑 名 单 中 
的 搜索 结果 做 标识 。 

基于 URL 黑 名 单 过 滤 的 最 大 问题 在 于 时 间 上 的 非 实 时 性 以 及 范围 上 的 不 全 面 性 。 挂 
马 页 面 的 数量 存在 快速 增加 的 态势 ,虽然 Google 周期 性 地 检测 页 面 ,但 一 个 页 面 很 可 能 在 
被 Google 判定 为 良性 之 后 又 被 挂 马 ,用 户 随后 浏览 该 页 面 时 就 可 能 遭 到 攻击 。 尽 管 
Google 疏 取 了 大 量 页 面 并 对 其 进行 检测 ,但 仍 无 法 保证 100% 的 覆盖 面 。 

(2) 浏览 器 安全 加 固 。 目 前 ,浏览 器 安全 加 固 主要 通过 在 浏览 器 中 增加 网 页 木马 检测 ， 
以 及 已 知 漏洞 利用 特征 检测 等 功能 来 实现 浏览 器 应 用 的 安全 性 。 不 同类 型 的 浏览 器 实现 安 
全 加 固 的 方法 不 尽 相 同 ,读者 可 参阅 相关 浏览 器 的 安全 加 固 技术 说 明 。 

(3) 操作 系统 安全 扩展 。 由 于 存在 大 量 的 漏洞 ,因此 浏览 器 是 一 个 不 安全 的 应 用 环境 。 
但 是 ,与 浏览 器 相 比较 , 客 户 端的 操作 系统 是 一 个 相对 安全 的 环境 。 一 般 可 通过 对 操作 系统 
做 一 定 的 安全 扩展 ,来 阻 断 网 页 木马 攻击 流程 中 未 经 用 户 授权 的 恶意 可 执行 文件 下 载 、 安 装 
或 执行 。 例 如 ,通过 采用 虚拟 隔离 存储 空间 技术 ,任何 通过 浏览 器 进程 下 载 的 可 执行 文件 都 
被 放 人 一 个 虚拟 的 .权限 受 限 的 隔离 存储 空间 ,只 有 经 过 用 户 确 认 的 下 载 文 件 才 会 被 转移 到 
真实 的 文件 系统 中 。 这 种 方法 在 一 定 程度 上 阻 断 了 恶意 可 执行 文件 在 客户 端的 下 载 和 
执行 。 

除 以 上 介绍 的 基本 技术 之 外 ,客户 端 网 页 木马 防范 的 有 效 途 径 是 提升 客户 端 操作 系统 
和 浏览 器 的 安全 性 ,具体 方法 是 采用 操作 系统 本 身 提供 的 在 线 更 新 功能 ,以 及 第 三 方 软件 所 
提供 的 对 常用 软件 的 更 新 机 制 ,来 确保 所 使 用 的 Web 客户 端 计 算 机 始终 处 于 一 种 相对 安全 
的 状态 。 与 此 同时 ,安装 一 款 功能 较 强 的 反 病 毒 软件 并 对 其 实时 更 新 ,是 应 对 网 页 木马 威胁 
必 不 可 少 的 一 个 环节 。 另 外 ,还 要 养 成 良好 的 上 网 习惯 。 





6.5 网 络 钓鱼 的 攻防 


人 们 日 常生 活 中 对 ”钓鱼 ?一 词 理 解 为 一 种 欺诈 行为 。 钓 鱼网 站 可 简单 地 理解 为 不 法 分 
子 为 了 实施 网 络 攻击 精心 构建 的 具有 欺诈 性 的 特殊 类 型 的 网 站 ,利用 钓鱼 网 站 实施 的 网 络 
攻击 称 为 网 络 钓鱼 攻击 。 


6.5.1 网 络 钓鱼 的 概念 和 特点 


网 络 钓鱼 (phishing) 由 钓鱼 (fishing) 一 词 演变 而 来 。 在 网 络 钓鱼 的 过 程 中 ,攻击 者 将 
诱饵 (如 电子 邮件 .手机 短信 、QQ 链接 等 ) 发 送 给 大 量 用 户 ,期 待 少数 安全 意识 弱 的 用 户 “ 上 
钩 ”, 进 而 达到 “钓鱼 "如 窃取 用 户 的 隐私 信息 ?的 目的 。 
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网 络 钓鱼 的 具体 实施 过 程 为 : 不 法 分 子 利用 各 种 手段 ,仿冒 真实 网 站 的 URL 地 址 及 页 
面 内 容 ,或 利用 真实 网 站 服务 器 程序 上 的 漏洞 在 站 点 的 某 些 网 页 中 插入 危险 的 HTML 代 
码 , 以 此 来 骗取 用 户 银行 或 信用 卡 账号 、 密 码 等 私人 资料 。 

1. 网 络 钓鱼 的 概念 

国际 反 网 络 钓鱼 工作 组 (Anti-Phishing Working Group, APWG) 给 网 络 钓鱼 的 定义 
是 : 网 络 钓鱼 是 一 种 利用 社会 工程 学 和 技术 手段 窃取 消费 者 的 个 人 身份 数据 和 财务 账户 凭 
证 的 网 络 攻 击 方式 。 采 用 社会 工程 学 手段 的 网 络 钓鱼 攻击 往往 是 向 用 户 发 送 看 似 来 自 合 法 
企业 或 机 构 的 欺骗 性 电子 邮件 、 手 机 短信 等 ,引诱 用 户 回复 个 人 敏感 信息 或 单 击 其 中 的 链接 
访问 伪造 的 网 站 ,进而 泄露 凭证 信息 (如 用 户 名 、 密 码 、 账 号 ID、PIN 码 或 信用 卡 详细 信息 
等 ) 或 下 载 恶 意 软件 。 而 技术 手段 的 攻击 则 是 直接 在 个 人 计算 机 中 移植 恶意 软件 ,采用 某 些 
技术 手段 直接 窃取 凭证 信息 ,如 使 用 系统 拦截 用 户 的 用 户 名 和 密码 ,误导 用 户 访 问 伪造 的 网 

网 页 挂 马 和 钓鱼 网 站 是 恶意 网 址 的 两 个 主要 形式 。 但 是 ,单纯 的 钓鱼 网 站 由 于 本 身 不 
包含 恶意 代码 ,所 以 很 难 被 传统 的 安全 技术 方法 所 识别 。 加 之 绝 大 多 数 钓鱼 网 站 设 在 境外 ， 
因此 很 难 通过 法 律 手段 进行 有 效 的 打击 。 

2. 攻击 者 实施 网 络 钓鱼 的 主要 目的 

攻击 者 实施 网 络 钓鱼 攻击 的 方法 较 多 ,但 其 攻击 目的 主要 有 以 下 两 点 。 

1) leper dey 

经 济 利益 是 指 攻 击 者 通过 将 窃取 到 的 用 户 身 份 信息 卖 出 或 者 直接 使 用 窃取 到 的 银 

as 径 济 利益 。 在 此 类 网 络 钓鱼 中 ,虚假 购物 、 仿 冒 银行 、 投 资 理财 、 网 游 交 易 、 
虚假 兼职 占 了 很 大 的 比例 。 以 假冒 京东 (图 6-9) 为 例 ,此 类 假冒 网 站 利用 伪造 商品 页 面 诈 
骗 买 家 支付 ,实际 付款 对 象 是 不 法 分 子 的 账户 。 另 外 ,此 类 钓鱼 网 站 还 会 套 取 受 骗 者 的 账号 
密码 。 
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图 6-9 假冒 京东 网 站 
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同时 , 随 着 移动 互联 网 的 广泛 应 用 ,网 络 钓鱼 已 开始 向 移动 终端 过 渡 , 出 现 了 大 量 针 对 移 
动 终端 的 “假冒 网 站 ”, 这 类 网 站 不 仅 适 配 各 种 屏幕 尺寸 ,而 且 可 以 进行 动态 更 新 ,通过 手机 打 
开 后 ,很 难 判 断 与 真实 网 站 的 差别 。 图 6-10 所 示 的 是 运行 在 移动 终端 上 的 假冒 银行 网 站 。 
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图 6-10 运行 在 移动 终端 上 的 假冒 银行 网 站 


2) 展示 个 人 能 力 

展示 个 人 能 力 是 指 网 络 钓鱼 攻击 者 为 了 获得 同行 的 认同 而 实施 网 络 钓鱼 活动 。 通 过 技 
术 手 段 人 侵 正规 网 站 , 算 改 链接 内 容 ,躲避 安全 软件 的 检测 和 发 现 , 正 在 成 为 部 署 钓鱼 网 站 
的 重要 技术 手段 ,也 成 为 一 些 攻 击 者 展示 个 人 技术 能 力 的 一 种 方法 。 图 6-11 所 示 的 是 某 单 
位 的 网 站 被 攻击 后 变 成 一 个 广告 网 站 。 此 类 网 络 钓鱼 攻击 有 了 时 也 与 经 济 利益 关联 起 来 。 
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图 6-11 某 单位 的 网 站 被 攻击 后 变 成 一 个 广告 网 站 
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近年 来 ,网 络 钓鱼 攻击 已 经 成 为 互联 网 用 户 、 组 织 机 构 、 服 务 提供 商 所 面临 的 最 严重 的 
威胁 之 一 。 

3. 网 络 钓鱼 攻击 的 特点 

伪装 性 高 .时 效 性 强 、 存 活 时 间 短 及 钓鱼 目标 广泛 等 是 网 络 钓鱼 攻击 的 主要 特点 。 网 络 
钓鱼 总 是 与 其 仿冒 的 目标 有 很 强 的 关系 ,并 存在 一 定 的 迷惑 性 。 例 如 ,与 合法 链接 相似 的 域 
名 、 使 用 指向 合法 页 面 的 链接 及 视觉 上 相似 的 内 容 等 ,才能 诱导 用 户 输入 自己 的 敏感 信息 。 

网 络 钓鱼 者 首选 的 策略 是 通过 短信 (有 些 会 利用 伪 基 站 ) ,邮件 等 方式 大 量 发 送 诈骗 信 
息 ,冒充 成 一 个 可 信 的 组织 机 构 ,去 引诱 尽 可 能 多 的 网 络 用 户 。 钓 鱼 者 会 发 出 一 个 让 用 户 采 
取 紧 急 动 作 的 请 求 ,告诉 用 户 应 根据 提示 来 保护 自己 的 利益 免 受 侵害 ,其 中 这 些 欺骗 性 的 电 
子 邮件 或 短信 中 都 会 包含 一 个 容易 混淆 的 链接 ,指向 一 个 假冒 可 信 组 织 机 构 的 网 页 。 钓 鱼 
者 希望 受害 者 能 够 被 欺骗 ,从 而 在 这 个 假冒 的 ,但 看 起 来 几乎 没有 任何 破绽 的 所 谓 可 信 组 织 
机 构 的 “官方 ”网 站 的 页 面 中 输入 他 们 的 个 人 敏感 信息 。 被 钓鱼 者 所 青睐 的 可 信 组 织 机 构 包 
括 银 行 .电子 商务 平台 (淘宝 ,京东 等 ) ,高校 ,政府 机 关 等 。 这 里 以 退 款 骗 局 为 例 进 行 说 明 。 
此 类 钓鱼 欺诈 的 总 体 特点 是 : 钓鱼 者 会 通过 一 些 渠 道 获取 到 受害 者 的 网 购 信息 ,利用 受害 
者 付款 后 等 待 收 货 的 时 间 段 假冒 卖家 或 客服 ,通过 打 电 话 的 方式 联系 买 家 ,以 支付 系统 出 现 
故障 等 说 辞 诱导 受害 者 进行 退 款 操作 。 随 后 ,钓鱼 者 会 给 受害 者 发 去 链接 ,受害 者 打开 后 看 
到 的 是 高 仿 各 知名 电 商 的 钓鱼 网 页 。 钓 鱼网 页 会 诱导 受害 者 输入 支付 宝 账号 ,密码 ,银行 卡 
号 、 身 份 证 号 、 手 机 验证 码 等 诸多 资料 , 盗 刷 用 户 支 付 宝 和 银行 卡 。 

下 面 以 一 个 真实 案例 进行 说 明 : 2018 年 5 月 的 一 天 , 某 地 的 吉 先 生 在 国内 某 知名 网 店 
购买 了 一 个 移动 充电 器 后 不 久 ,就 接 到 一 个 自称 是 该 知名 网 店 第 三 方 卖家 客服 的 电话 。 该 
“客服 ?告诉 吉 先 生 ,因为 该 知名 网 店 的 系统 临时 维护 升级 , 吉 先 生 的 订单 失效 ,需要 他 填写 
退 款 协议 办 理 退 款 。 

不 明 真相 的 吉 先 生 并 不 知道 该 知名 网 店 退 款 是 没有 这 一 流程 的 ,于 是 打开 了 对 方 通过 
QQ 发 来 的 退 款 链接 。 吉 先生 回忆 说 ,当时 没有 多 想 , 因 为 打开 的 页 面 跟 该 知名 网 店 一 模 一 
样 ,看 起 来 非常 真实 ,以 至 于 他 被 骗 后 都 不 敢 相信 那 是 钓鱼 网 站 。 图 6-12 所 示 的 是 吉 先 生 
提供 的 钓鱼 网 站 的 界面 截图 。 网 络 钓鱼 者 发 来 的 退 款 协 议 .操作 过 程 跟 绑 定 快捷 支付 时 的 
流程 差不多 ,这 也 使 得 吉 先 生 没 有 引起 警惕 之 心 。 按 照 提示 , 吉 先 生 依次 输入 了 自己 的 银行 
卡号 、 密 码 .身份 证 号 、 预 留 手机 号 码 及 短信 验证 码 等 信息 。 没 想到 , 刚 提 交 完 ,他 就 收 到 了 
短信 ,显示 他 的 银行 卡 被 消费 了 3000 元 。 

此 类 以 * 退 款 ? 为 由 发 送 钓鱼 链接 的 案例 很 常见 。 此 类 退 款 钓鱼 的 最 大 威胁 来 自 于 钓鱼 
者 可 快速 获取 受害 者 的 购物 信息 ,继而 能 够 冒充 卖家 诈骗 受害 者 。 由 于 受害 者 刚刚 完成 购 
物 操作 ,因此 极 易 相 信和 钓鱼 者 的 话 ,被 诱导 上 当 受 骗 。 所 以 ,从 安全 角度 而 言 ,个 人 信息 泄露 
带 来 的 危害 是 最 大 的 , 远 远大 于 木马 .计算 机 病毒 等 传统 恶意 代码 。 另 外 ,钓鱼 者 设计 的 高 
仿 钓鱼 网 站 非常 逼真 ,受害 者 很 难 辨别 真 伪 。 图 6-13 所 示 的 是 曾经 非常 流行 的 假冒 淘宝 的 
退 款 欺诈 网 站 页 面 ,与 真实 的 网 站 页 面 非常 相似 。 

此 类 网 络 钓鱼 者 非常 精通 支付 规则 ,而且 采 取 了 连环 骗局 的 方式 : 先是 钓鱼 网 站 ,然后 
利用 受害 者 急于 要 回 付款 的 心理 , 设 下 电信 骗局 ,一步 一 个 陷阱 ,陷阱 之 间 环 环 相 扣 , 普 通 人 
很 难看 出 破绽 。 

为 了 逃避 安全 厂商 对 于 钓鱼 网 站 的 封杀 ,钓鱼 网 站 不 仅 要 快速 更 换 网 址 ,而 且 需 要 变换 
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图 6-12 钓鱼 网 站 的 界面 截图 
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图 6-13 ”假冒 淘宝 退 款 欺诈 网 站 页 面 


传播 的 手法 ,如 利用 云 盘 服务 、 短 信 、 社 交 平 台 ( 微 博 、.QQ 等 ) 以 及 一 些 新 的 通信 方式 的 分 享 
功能 来 传播 链接 ,并 最 终 通过 网 址 跳 转 ,将 受害 者 引诱 到 钓鱼 网 站 上 进行 诈骗 。 利 用 分 享 功 
能 尤其 是 移动 端 进行 分 享 ,受害 者 很 难看 到 网 址 信息 ,更 加 具有 隐蔽 性 。 


6.5.2 典型 钓鱼 网 站 介绍 


根据 安全 机 构 的 统计 分 析 ,影响 较 大 的 钓鱼 网 站 主要 分 为 虚拟 购物 .虚假 中 奖 和 模拟 登 
录 几 类 。 另 外 ,假冒 银行 .虚拟 招聘 .虚拟 医药 .虚假 金融 证 券 .境外 彩票 等 钓鱼 网 站 ,也 成 为 
互联 网 应 用 的 安全 风险 类 型 。 
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1. 虚假 购物 网 站 

虚假 购物 网 站 是 指 攻击 者 通过 伪造 商品 页 面 来 诱骗 用 户 进行 网 上 购物 和 支付 ,但 实际 
付款 对 象 却 是 不 法 分 子 的 账户 。 另 外 ,有 些 钓鱼 网 站 也 会 通过 设置 种 种 信息 输入 和 验证 ,来 
套 取 受 骗 者 的 银行 账号 和 密码 等 信息 。 假 冒 淘宝 是 目前 最 常见 的 虚假 购物 网 站 之 一 。 

用 户 在 进行 网 上 购物 时 , 当 打 开 购 物 网 站 时 一 定 要 仔细 辨认 网 站 的 地 址 (URL)。 如 
图 6-14 所 示 ,虽然 用 户 当 前 打开 的 虚拟 网 站 地 址 中 也 具有 taobao( 淘 宝 ) 字 符 , 但 仔细 辨认 
整个 地 址 ,就 会 发 现 该 网 站 的 地 址 很 不 规范 ,在 “taobao. cn" 后 面 还 带 有 “fgifnv. co. cc”, 尤 
其 是 “co. ce” 在 国内 网 站 域名 注册 中 没有 出 现 过 。 如 果 再 与 淘宝 网 的 官方 网 站 地 址 进行 比 
较 , 就 会 发 现 并 进一步 证 实 漏洞 的 存在 。 





避 360 网 盾 


(您 访问 的 网 站 存在 风险 


当前 网 址 : http://item.taobao.cn.fgjfnv.co.cc/ 


360 同 后 提示 : 

当前 页 面 存在 可 疑 的 商品 、 商 户 、 支 付 等 相关 信息 ， 虚 假 物 品 买卖 可 能 会 给 您 造成 
财产 损失 ， 请 确认 是 否 为 官方 网 站 并 谨慎 访问 。 

| ”淘宝 网 官方 网 站 为 : http://www.taobao.com 

建议 关闭 此 网 页 , 访问 真实 安全 的 网 站 


图 6-14 假冒 淘宝 网 站 的 虚假 购物 网 站 地 址 


此 外 ,网 游 交易 欺诈 .手机 充值 欺诈 、 仿 冒 品牌 官网 、 仿 骨 网 银 、 销 售 假 药 .虚假 票务 网 站 
等 都 是 典型 的 虚假 购物 网 站 的 范畴 。 

2. 虚假 中 奖 网 站 

虚假 中 奖 网 站 是 指 不 法 分 子 假冒 某 些 知名 公司 ,通过 各 种 渠道 (如 QQ 聊天 信息 、QQ 
空间 回帖 -邮件 ,假冒 的 系统 信息 、 假 冒 的 腾讯 活动 网 站 等 ) 散 布 虚 假 中 奖 信息 ,以 骗取 用 户 
信息 或 相关 费用 等 。 这 类 网 站 所 提供 的 信息 大 意 为 用 户 被 系统 自动 抽取 为 某 活 动 中 奖 幸 运 
用 户 , 想 要 领 奖 需要 先 填写 个 人 详细 资料 及 支付 相关 费用 (如 押金 .运费 .手续 费 .税收 等 )， 
并 要 求 用 户 按 提示 的 联系 方式 进行 汇款 等 。 

图 6-15 所 示 的 是 一 个 假冒 “淘宝 周年 庆典 感恩 大 回馈 ”的 虚假 中 奖 网 站 。 该 中 奖 网 站 
首页 与 官方 网 站 几乎 一 模 一 样 ,但 它 有 一 个 很 明显 的 缺陷 就 是 网 址 和 官方 网 站 的 网 址 不 同 ， 
只 要 仔细 辨认 网 址 就 可 以 识破 对 方 的 欺骗 性 。 为 此 , 当 用 户 对 此 类 网 站 有 疑问 时 ,可 通过 对 
方 官网 查看 具体 地 址 或 号 码 (QQ 号 码 、 电 话 号 码 或 手机 号 码 等 ), 青 进行 相应 的 验证 ,一 般 
能 够 发 现 可 能 存在 的 问题 。 总 之 ,只 要 平时 提高 警惕 ,增强 自我 保护 意识 ,就 不 容易 上 当 
受骗 。 

3. 模仿 登录 网 站 

模仿 登录 网 站 是 指 通 过 仿冒 真实 网 站 页 面 ,或 利用 真实 网 站 服务 器 程序 上 的 漏洞 植 入 
木马 程序 ,以 此 来 骗取 用 户 银行 或 信用 卡 账号 、 密 码 等 私人 资料 。 模 仿 登 录 网 站 往往 会 通过 
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图 6-15 假冒 淘宝 周年 庆典 的 虚假 中 奖 网 站 


精良 的 页 面 制作 ,模仿 QQ 空间 支付宝、 银行 等 知名 网 站 ,普通 用 户 仅 赁 肉眼 一 般 难以 分 
辨 ,一 旦 误 信 在 该 网 站 “登录 ”处 输入 正确 的 账号 和 密码 (网 站 还 会 提醒 用 户 输入 错误 ,请 用 
户 重复 输入 ,以 确保 用 户 输入 信息 的 正确 性 ) ,所 输入 的 账号 和 密码 将 通过 后 台 程 序 发 送 给 
攻击 者 ,攻击 者 将 会 利用 盗 来 的 账号 和 密码 实施 各 类 诈骗 或 消费 账号 中 的 资金 。 

图 6-16 所 示 的 是 一 个 模仿 中 国 建设 银行 的 登录 网 站 。 乍 一 看 ,与 官方 的 信息 似乎 很 符 
合 , 但 当 用 户 在 激动 的 心情 下 填写 完 自己 的 账号 和 密码 时 ,就 已 经 陷入 骗子 设计 好 的 陷阱 。 
对 于 该 类 网 站 ,用 户 同样 要 通过 仔细 辨别 和 核对 网 站 的 地 址 ,在 没有 安全 防护 工具 以 及 没有 
认真 核对 信息 时 , 千 万 不 要 着 急 填写 任何 账号 和 密码 信息 。 


6.5.3 网 络 钓鱼 攻击 的 实现 方法 


在 本 节 前 面 的 介绍 中 ,读者 已 经 对 网 络 钓鱼 的 基本 实现 方法 有 了 一 定 的 了 解 。 本 节 在 
介绍 网 络 钓鱼 流程 的 基础 上 ,主要 从 技术 角度 分 析 网 络 钓鱼 的 实现 过 程 。 

1. 网 络 钓鱼 攻击 的 实现 流程 

网 络 钓鱼 攻击 者 进行 网 络 钓鱼 的 流程 如 图 6-17 所 示 。 首 先 ,攻击 者 架设 一 个 钓鱼 网 站 
或 使 合法 网 站 携带 恶意 代码 ,并 部 署 一 些 必需 的 后 台 脚 本 用 于 处 理 并 获取 用 户 的 输入 数据 ; 
然后 ,攻击 者 利用 社会 工程 学 手段 制作 诱饵 ,并 通过 邮件 .电话 短信、 即时 通信 工具 等 途径 
发 送 诱饵 ; 在 用 户 被 引诱 访问 钓鱼 页 面 并 上 传 隐私 信息 后 ,攻击 者 即 可 利用 事先 设计 的 后 
全 程序 得 到 这 些 信息 ,并 利用 用 户 隐私 信息 牟取 利益 。 

通过 图 6-17 所 示 的 攻击 流程 可 以 看 出 ,网 络 钓鱼 攻击 的 实施 主要 有 以 下 几 个 环节 。 

1) 建立 钓鱼 基础 设施 

网 络 钓鱼 攻击 首先 要 建立 钓鱼 基础 设施 。 钓 鱼网 站 为 了 隐藏 自己 ,以 躲避 安全 工具 和 
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图 6-17 网 络 钓鱼 攻击 的 实现 流程 


安全 人 员 的 追踪 ,攻击 者 一 般 通过 从 互联 网 上 寻找 被 攻陷 的 服务 器 来 搭建 钓鱼 网 站 。 攻 击 
过 程 通 常会 扫描 互联 网 的 IP 地 址 空间 ,以 寻找 潜在 的 存在 安全 漏洞 的 主机 ,并 攻击 那些 缺 
乏 安 全 防护 的 服务 器 或 个 人 计算 机 。 

2) 架设 钓鱼 网 站 

在 互联 网 上 通过 扫描 找到 可 被 攻陷 的 服务 器 资源 后 ,攻击 者 就 可 以 根据 诈骗 需要 在 上 
面 架 设 钓 鱼网 站 ,包括 假冒 银行 ,假冒 电子 商务 平台 ,假冒 证 券 机 构 等 。 这 些 前 台 假 冒 钓 鱼 
网 站 ,以 及 后 台 用 于 收集 、 验 证 和 发 送 用 户 输入 敏感 信息 的 脚本 ,使 用 最 新 的 HTML 页 面 
编辑 工具 就 可 以 快速 地 模仿 出 一 个 与 可 信 组 织 机 构 相 近 的 页 面 来 。 对 于 一 些 有 组 织 的 网 络 
钓鱼 不 法 分 子 来 说 ,为 了 能 够 诱骗 更 多 的 上 网 用 户 ,他们 会 实时 跟踪 被 模仿 网 站 的 更 新 情 
况 。 同 时 ,不 法 分 子 会 在 一 台 或 多 台 服 务 器 上 存放 所 有 假冒 的 钓鱼 网 站 建站 内 容 及 脚本 ,以 
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便 在 攻陷 了 一 台新 的 服务 器 后 ,能够 通过 从 集中 服务 器 上 复制 网 站 内 容 来 快速 架设 一 个 新 
的 钓鱼 网 站 。 

3) 诱骗 用 户 访问 钓鱼 网 站 

在 完成 钓鱼 网 站 的 部 署 后 ,攻击 者 必须 想 办 法 通过 欺骗 的 方式 将 大 量 用 户 诱导 到 钓鱼 
网 站 。 为 了 实现 此 目的 ,攻击 者 除 在 技术 上 采用 DNS 缓存 区 中 毒 或 网 络 流量 重 定 向 等 方式 
外 ,更 多 的 采用 社会 工程 学 手段 来 构造 欺骗 性 的 垃圾 邮件 .QQ 链接 ,群发 短信 等 信息 ,来 实 
施 撤 网 式 的 钓鱼 攻击 。 一 般 多 采用 境外 的 开放 邮件 服务 器 或 租用 伪 尸 网 络 来 发 送 欺 骗 邮 
件 , 或 在 QQ 、 征 信和 群 中 发 送 欺骗 性 的 网 络 链接 ,或 采用 伪 基站 来 群发 欺骗 短信 ,为 网 络 监管 
带 来 一 定 的 难度 。 例 如 ,在 群发 欺骗 邮件 时 ,邮件 头 部 中 的 源 地 址 往往 是 冒充 假冒 钓鱼 网 站 
相对 应 的 可 信和 组织 机 构 官 方 网 站 地 址 ,发 送 内容 中 经 常 以 各 种 安全 性 理由 、 紧 急事 件 或 中 奖 
信息 来 欺骗 用 户 去 访问 其 中 包含 的 钓鱼 网 站 链接 ,进而 诱骗 用 户 给 出 个 人 敏感 信息 内 容 。 

2. 网 络 钓鱼 攻击 采用 的 主要 欺骗 方式 


网 络 钓鱼 主要 利用 社会 工程 学 手段 来 诱骗 安全 意识 弱 的 用 户 ,通过 在 线 提交 方式 来 骗 
取 个 人 敏感 信息 ,进而 非法 获得 经 济 利 益 。 下 面 介 绍 网 络 钓鱼 攻击 主要 采用 的 欺骗 方式 。 

1) 用 IP 地 址 代替 域名 

在 用 户 接收 到 的 欺骗 信息 中 ,相关 链接 通常 使 用 IP 地 址 来 指向 所 谓 的 可 信 组 织 机 构 ， 
而 没有 使 用 DNS 域名 。 如 果 用 户 不 对 IP 地 址 的 指向 (是 否 为 所 声称 的 域名 使 用 的 IP 地 
址 ) 进 行 检查 和 验证 ,很 容易 会 被 误导 ,从 而 访问 钓鱼 网 站 。 

2) 使 用 发 音 相 近 或 拼写 相似 的 域名 

攻击 者 一 般 会 通过 免费 的 域名 注册 机 构 来 注册 发 音 相近 或 拼写 相似 的 DNS 域名 ,用 以 
指向 钓鱼 网 站 ,通过 混淆 视觉 的 方式 来 欺骗 用 户 访 问 钓鱼 网 站 。 例 如 ,工商 银行 官网 主页 的 
DNS 域名 应 该 为 www. icbc. com. cn, 但 网 络 钓鱼 攻击 者 会 注册 使 用 类 似 于 www. lcbc. 
com. cn( 图 6-18) 或 www. lcbc. com. cn 的 域名 , 仅 一 个 字母 之 差 ,造成 了 拼写 和 视觉 上 的 
混淆。 





图 6-18 ”使 用 www. lcbc. com. cn 解析 的 假冒 工商 银行 网 站 主页 


根据 部 分 字符 之 间 的 相似 性 ,攻击 者 可 以 注册 一 个 和 可 信和 网 站 差不多 的 域名 。 例 如 ,以 
数字 0 伪装 字母 0, 以 i 的 大 写 I 或 数字 1 伪装 1(L 的 小 写 ) ,以 rn 伪装 m 等 。 

3) 泛 域名 解析 攻击 

通过 泛 域 名 解析 实现 对 网 站 的 攻击 是 近年 来 出 现 的 一 种 网 络 攻击 方法 ,在 不 对 网 站 进 
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行 任何 修改 的 前 提 下 ,就 可 以 实现 对 网 站 的 攻击 。 

泛 域名 解析 是 指 利用 通配符 * ( 星 号 ) 来 作为 二 级 域名 ,以 实现 所 有 的 二 级 域名 均 指 向 
同一 个 IP 地址。 例如 ,通过 在 域名 服务 器 上 添加 * x . abc. cn” 记 录 , 并 将 解析 结果 指向 特定 
的 IP 地址 a.b.c.d”, 那 么 当 用 户 在 浏览 器 中 随便 输入 http://* .abc. cn( 其 中 , * 代表 任 
意 字符 ) 时 ,都 会 打开 *a. b. c. d” 对 应 的 网 站 。 

利用 泛 域 名 解析 ,可 以 让 域名 支持 无 限 的 二 级 域名 ,也 可 以 防止 用 户 输入 不 正确 的 二 级 
域名 时 也 能 够 访问 网 站 。 

利用 泛 域名 解析 原理 ,黑客 在 对 被 攻击 网 站 不 进行 任何 修改 操作 的 情况 下 ,只 需要 通过 
算 改 DNS 服务 器 的 域名 解析 记录 ,就 可 以 实现 攻击 目的 。 例如, 当 用 户 在 浏览 器 输入 
“www. sina. com” 时 ,将 会 访问 新 浪 的 官网 。 现 假设 黑客 和 人 侵 了 DNS 服务 器 ,将 泛 域 名 
“x* .sina com” 解 析 记 录 指 向 了 一 个 钓鱼 网 站 的 IP 地 址 。 这 时 , 当 用 户 不 小 心 输入 了 类 似 
“ww. sina. com” 时 ,将 会 打开 该 钓鱼 网 站 。 

如 图 6-19 所 示 ,“edu. cn” 是 我 国 高 校 和 科研 机 构 的 专用 域名 ,但 当 用 户 在 搜索 引擎 中 
通过 输入 “site:edu. cn 色情 "搜索 该 域名 下 包含 “色情 "的 内 容 时 ,就 会 发 现 排 在 最 前 面 的 3 
个 网 站 中 ,其 中 有 两 个 并 非 高 校 网 站 。 这 两 个 网 站 的 共同 特点 是 骨 充 了 高 校 网 站 的 域名 
“edu. cn”, 但 前 面 的 二 级 域名 却 是 编造 的 。 攻 击 者 通过 算 改 DNS 解析 记录 ,就 可 以 使 这 些 
在 高 校 域名 范围 内 本 来 不 该 存在 的 网 站 被 打开 。 
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ET 
淫秽 与 色情 问题 


至 秽 与 色情 问题 林 民 胜 在 论 及 性 道德 问题 时 ,如 何 看 待 于 和 与 色 他 一 直 是 个 热门 的 话题 。 还 没有 
见 过 有 哪个 政府 对 深 秽 事物 放任 不 管 ,各 国都 公布 有 色情 标准 的 法 律 文件 ,但 是 
shc2000 sjtu edu cm/03_ 2003-04-06 ~ - 百度 快照 -评价 


Www yinwowo .com 小 泉 莉 亚 大 片 -【 泽 淫 碰 〗】WWW YYPeng Com 
www yinwowo.com_ 小泉 莉 亚 大 片 ,及 深 碰 是 国内 更 新 最 快 内容 最 全 ,绿色 的 成 人 网 站 之 一 ,每 日 
更 新 亚洲 情色 ,欧美 性 爱 ,偷拍 自拍 等 各 个 栏目 激情 你 懂得 ! 

11dd. 次 UU 


2014 年 7 月 4 日 成 人 bt 红色 av 社区 - 常 看 色情 电影 会 早泄 吗 2014 年 7 月 4 日 泌 泽 萝 拉 电影 叫 什么 - 
莫 拉 第 一 部 av 片 2014 年 7 月 4 日 英文 色 站 导航 -哪里 有 不 用 下 载 的 av 


[physicsustc edu cmin] 2014-07-04 - VWs - 百度 快照 - 评价 






























图 6-19 利用 泛 域名 解析 进行 的 攻击 


4) IDN 欺骗 
早期 的 DNS 系统 只 使 用 ASCII 字符 作为 域名 ,这 给 非 英 语 国 家 的 用 户 造成 了 极 大 的 
不 便 。2003 年 ,负责 互联 网 国际 技术 标准 制定 的 IETF 正式 公布 了 IDN (Internationalized 
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Domain Names, 国 际 化 域名 ) 的 实现 方案 (Internationalizing Domain Names in Applications， 
IDNA) 。 

IDNA 技术 方案 采用 Unicode 组 织 制定 的 全 球 统一 编码 标准 ( 即 Unicode 编码 ) 来 表示 
IDN ,其 描述 的 IDN 处 理 过 程 主要 分 为 以 下 几 个 步骤 : Web 浏览 器 等 应 用 程序 首先 将 本 地 
编码 (如 GB、GBK、BIG5 等 ) 表 示 的 IDN 翻译 成 Unicode 编码 形式 ,再 通过 一 个 编码 转换 工 
具 Nameprep 的 处 理 , 获 取 一 个 规范 的 IDN。 经 过 Nameprep 处 理 过 的 IDN 是 以 Unicode 
形式 表示 的 ,但 现 有 的 DNS 系统 只 支持 ASCII 域名 ,因而 还 需 采 用 ASCII 兼容 的 编码 方式 
(ASCII Compatible Encoding,ACE) 将 Unicode 表示 的 域名 转换 成 使 用 ASCII 字符 来 表示 
的 域名 。 常 用 的 ACE 编码 方式 是 Punycode 算法 ,例如 ,域名 “中 国 建设 银行 . cn” 的 
Punycode 为 “xn 一 fiqs8skzg6u8b8udunr. cn”。 最 后 ACE 格式 的 域名 再 由 应 用 程序 递交 给 
域名 解析 器 ,进行 域名 解析 。IDNA 方案 无 须 修改 DNS 服务 器 端 , 可 无 颖 实现 现 有 域名 系 
统 到 IDN 系统 的 升级 。 

IDN 允许 互联 网 用 户 使 用 本 国文 字 作 为 域名 ,从 而 方便 了 用 户 , 同 时 也 产生 了 安全 隐 
患 。 由 于 Unicode 字符 集中 存在 许多 字形 或 语义 上 相似 的 字符 ,因而 可 构造 出 大 量 相 似 的 
Unicode 字符 串 。 所 谓 IDN 欺骗 ,就 是 指 网 络 欺诈 者 利用 Unicode 字符 集中 的 相似 字符 , 注 
册 与 合法 网 站 域名 非常 相似 的 IDN ,伪造 网 站 来 欺骗 用 户 的 行为 。 

IDN 欺骗 手段 多 种 多 样 , 使 用 不 同 语种 文字 实施 欺骗 是 常见 的 一 种 。 使 用 Unicode 编 
码 的 URL, 在 Web 浏览 器 的 地 址 栏 中 显示 看 似 相同 的 网 站 地 址 ,但 实际 上 指向 了 不 同 的 网 
站 页 面 。 

5) 后 台数 据 收集 

网 络 钓鱼 的 主要 目的 是 收集 用 户 在 线 提交 的 敏感 数据 。 所 以 ,攻击 者 会 将 钓鱼 网 站 配 
置 成 能 够 在 用 户 不 知情 的 情况 下 自动 记录 用 户 在 线 提交 的 所 有 数据 ,而 且 该 操作 不 会 记录 
在 日 志文 件 中 。 一 般 情 况 下 ,钓鱼 网 站 会 要 求 用 户 在 线 输入 用 户 名 ,银行 账号 、 密 码 .身份 证 
号 码 等 个 人 敏感 信息 , 当 单 击 “ 提 交 ” 按 钮 后 ,会 产生 一 个 类 似 于 “口令 输入 错误 ,请 重 试 ”的 
错误 页 面 ,随后 用 户 被 重 定向 到 真实 的 网 站 。 在 此 过 程 中 ,大 部 分 用 户 相 信和 是 自己 输入 错 
误 ,而 不 会 想到 是 被 骗 了 。 

除 以 上 介绍 的 主要 方法 外 ,攻击 者 还 可 以 通过 安装 恶意 浏览 器 助手 工具 、 修 改 用 户 端 计 
算 机 的 DNS 与 IP 地 址 之 间 的 映射 等 方式 实现 网 络 钓鱼 攻击 。 


6.5.4 网 络 钓鱼 攻击 的 防范 方法 


网 络 钓鱼 攻击 对 快速 发 展 的 电子 金融 、 在 线 支付 .电子 商务 等 应 用 带 来 了 巨大 的 危害 ， 
已 严重 威胁 着 互联 网 安全 ,大 量 用 户 敏 感 信息 被 窃取 后 ,不 但 侵害 了 用 户 的 个 人 经 济 利益 ， 
而 且 为 地 下 黑色 产业 链 源源 不 断 地 输入 着 重要 的 资源 。 防 范 网 络 钓鱼 攻击 ,成 为 维护 互联 
网 金融 环境 、 保 护 用 户 信息 和 财产 ,打击 网 络 犯罪 的 有 效 手 段 。 

1. 建立 协作 机 制 和 组 织 

网 络 钓鱼 攻击 涉及 面 广 ,影响 大 ,单一 技术 的 应 用 无 法 解决 具体 的 问题 ,必须 立足 互联 
网 应 用 实际 ,在 充分 掌握 网 络 钓鱼 攻击 实现 方法 的 基础 上 ,借助 反 网 络 钓鱼 相关 组 织 , 通 过 
协作 机 制 ,采取 教育 和 技术 双重 措施 ,防范 网 络 钓鱼 攻击 。 
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1) 国际 反 网 络 钓鱼 工作 组 

国际 反 网络 钓 鱼 工 作 组 (Auti-Phishing Working Group,APWG) 成 立 于 2003 年 ,是 专 
注 于 消除 日 益 严重 的 网 络 钓鱼 .犯罪 软件 和 电子 邮件 诈骗 所 带 来 的 身份 盗窃 和 欺诈 问题 的 
行业 协会 。 该 组 织 提 供 一 个 讨论 网 络 钓鱼 问题 的 平台 ,在 硬件 和 软件 的 成 本 和 导致 后 果 方 
面 定义 了 网 络 钓鱼 问题 的 范围 ,并 分 享 信息 和 消除 问题 的 最 佳 做 法 。 

已 有 超过 1800 家 公司 ` 政 府 机 构 、 金 融 机 构 . 网 上 零售 商 、 互 联网 络 服务 提供 商 、 社 会 执 
法 机 构 和 安全 解决 方案 提供 商 加 入 APWG。APWG 提供 了 对 网 络 钓鱼 攻击 的 在 线 协调 应 
对 机 制 ,并 对 网 络 钓鱼 攻击 的 案例 数据 进行 汇总 ,对 网 络 钓鱼 攻击 的 趋势 进行 分 析 。 

2) 中 国 反 钓鱼 网 站 联盟 

中 国 反 钓 鱼网 站 联盟 (Anti-Phishing Alliance of China, APAC) 成 立 于 2008 年 7 月 18 
日 ,由 国内 银行 证 券 机 构 、 电 子 商务 网 站 、 域 名 注册 管理 机 构 ,域名 注册 服务 机 构 、 专 家 学 者 
共同 组 成 ,是 国内 唯一 为 解决 钓鱼 网 站 问题 而 成 立 的 协调 组 织 ,拥有 会 员 单位 500 多 家 。 中 
国 反 钓鱼 网 站 联盟 已 建立 快速 解决 机 制 ,借助 停止 CN 域名 或 非 CN 域名 钓鱼 网 站 解析 或 
警示 等 手段 ,及 时 终止 其 危害 ,构建 可 信和 网 络 。 

中 国 反 钓 鱼网 站 联盟 旨 在 建立 反 钓鱼 网 站 协调 机 制 ,推动 反 钓鱼 网 站 综合 治理 体系 的 
建设 ,增进 相关 企业 在 反 钓鱼 网 站 工作 方面 的 合作 与 交流 ,共享 反 钓鱼 网 站 方面 的 有 关 信 
息 , 组 织 成 员 单位 共同 预防 ,发 现 和 治理 钓鱼 网 站 。 中 国 反 钓鱼 网 站 联盟 借鉴 国际 反 钓 鱼网 
站 的 经 验 和 惯例 ,针对 钓鱼 网 站 “存活 期 短 ,危害 巨大 ”的 特点 ,协调 各 方 力 量 建立 一 个 快速 
处 理 钓鱼 网 站 的 解决 机 制 , 防 患 于 未 然 , 从 域名 这 一 互联 网 应 用 之 根 上 打击 遏制 钓鱼 网 站 的 
危害 ,致力 于 构建 一 个 可 信和 网 络 。 

3) 网 站 的 备案 登记 

2005 年 2 月 8 日 ,信息 产业 部 发 布 T《 非 经 营 性 互联 网 信息 服务 备案 管理 办 法 》, 该 办 
法 要 求 从 事 非 经 营 性 互联 网 信息 服务 的 网 站 进行 备案 登记 。 按 照 该 管理 办 法 ,国内 非 经 
性 的 网 站 均 需 在 工业 和 信息 化 部 进行 ICP/IP 备案 (备案 网 站 地 址 为 : http://www. 
miibeian. gov. cn/) ,备案 类 别 主要 分 为 军队 、 政 府 机 关 、 事 业 单位 、 企 业 、 社 会 团体 和 个 人 几 
种 。ICP/IP 备案 信息 实际 上 就 是 政府 颁发 给 网 站 的 一 张 身份 证 ,这 些 信息 均 可 以 在 工业 和 
信息 化 部 网 站 进行 查询 。 

网 站 的 身份 认证 信息 可 以 有 效 帮 助 用 户 识别 安全 软件 暂时 没有 加 入 “恶意 网 址 库 ” 的 钓 
鱼网 站 。 例 如 , 当 用 户 的 计算 机 中 突然 弹出 自称 是 “ 某 一 银行 网 上 银行 ”页面 时 ,如 果 身 份 认 
证 信息 显示 的 是 个 人 备案 的 网 站 或 根本 没有 备案 , 则 可 以 断定 这 是 身份 造假 的 钓鱼 网 站 。 

需要 说 明 的 是 : 某 些 企业 或 政府 网 站 虽然 进行 了 ICP/IP 备案 ,但 由 于 网 站 存在 漏洞 ， 
可 能 遭遇 黑客 攻击 或 页 面 被 筑 改 ,仍然 会 被 黑客 利用 ,在 备案 网 站 上 发 布 虚假 信息 。 为 此 ， 
对 于 钓鱼 网 站 的 防治 ,需要 综合 各 方面 的 信息 加 以 判断 。 

2. 基于 黑 名 单 的 检测 和 防范 方法 

基于 黑 名单 的 网 络 钓鱼 攻击 检测 方法 ,通过 维护 一 个 已 知 的 钓鱼 网 站 的 信息 列表 ,以 便 
根据 列表 检查 当前 访问 的 网 站 。 这 份 需要 不 断 更 新 的 黑 名 单 中 包含 已 知 网 络 钓鱼 的 URL、 
IP 地 址 .DNS 域名 ,证 书 及 关键 词 等 信息 。 

黑 名 单方 法 的 应 用 广泛 ,是 主要 的 网 络 钓鱼 过 滤 技 术 之 一 ,如 Google Chrome、Mozilla 
Firefox 和 Apple Safari 中 使 用 的 Google Safe API 就 是 根据 Google 提供 的 不 断 更 新 的 黑 
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名 单 , 通 过 验证 某 一 URL 是 否 在 黑 名 单 中 ,来 判断 该 URL 是 否 为 钓鱼 网 页 或 恶意 网 页 。 

通过 使 用 黑 名 单 进行 网 络 钓鱼 检测 ,可 以 准确 地 识别 已 被 确认 的 网 络 钓鱼 ,大 大 降低 了 
误 检 率 , 另 一 方面 , 黑 名单 还 具有 主机 资源 需求 低 的 优点 。 但 是 ,由 于 大 多 数 网 络 钓鱼 活动 
的 存活 周期 短 ,基于 黑 名 单 的 方法 在 防御 新 出 现 的 网 络 钓鱼 攻击 方面 的 有 效 性 并 不 高 。 主 
要 原因 有 两 点 : 一 是 黑 名 单 的 加 入 存在 滞后 性 。 一 个 新 钓鱼 活动 的 URL、IP 地 址 等 信息 必 
须 在 确认 其 为 网 络 钓鱼 后 才能 加 入 黑 名 单 , 而 判定 一 个 可 疑 的 活动 是 否 为 网 络 钓鱼 ,需要 取 
证 和 分 析 等 过 程 ,势必 带 来 一 定 的 延 时 。 这 一 延 时 极 大 地 影响 了 黑 名 单方 法 检测 的 准确 率 。 
二 是 黑 名 单 的 更 新 造成 延迟 。 黑 名 单 的 更 新 有 两 种 方法 : 第 一 种 方法 是 将 更 新 的 黑 名 单列 
表 推 送 到 客户 端 ,第 二 种 方法 是 服务 器 检查 所 访问 的 URL 是 否 为 钓鱼 网 站 ,然后 将 结果 通 
知 给 客户 端 。 这 两 种 方法 都 存在 一 定 的 问题 。 如 果 黑 名 单 服务 器 广播 更 新 的 网 络 钓鱼 黑 名 
单 ,广播 的 频率 低 会 产生 延迟 问题 ,频率 过 高 又 会 增加 服务 器 的 负载 。 而 第 二 种 方法 需要 每 
个 客户 端 联系 黑 名 单 服务 器 获取 结果 ,虽然 没有 延迟 问题 ,但 必须 与 服务 器 之 间 建 立 实时 联 
系 ,以 便 下 载 和 更 新 黑 名 单列 表 。 

为 了 克服 黑 名 单机 制 在 应 对 新 出 现 的 网 络 钓鱼 攻击 方面 存在 的 不 足 , 目 前 已 经 将 机 器 
学 习 、 自 然 语言 处 理 等 技术 和 方法 应 用 到 检测 和 防范 网 络 钓鱼 攻击 中 。 

3. 日 常 的 防范 措施 


针对 网 络 钓鱼 攻击 的 主要 特点 ,对 于 普通 互联 网 用 户 来 说 ,还 需要 在 日 常 上 网 时 增强 安 
全 意识 ,提高 警惕 性 。 

1) 检查 是 否 使 用 HTTPS 协议 

网 上 银行 证 券 基 金 、 知 名 电子 商务 网 站 、 网 上 支付 系统 等 关键 网 站 一 般 都 会 在 登录 页 
面 使 用 HTTPS 协议 对 传输 的 信息 进行 加 密 处 理 , 并 且 在 浏览 器 的 地 址 栏 会 显示 “安全 锁 ” 
标识 , 单 击 安全 锁 可 以 查看 网 站 认证 信息 ,核对 网 站 详细 信息 中 的 证 书 “ 使 用 者 ”的 单位 名 
称 ,确认 网 站 所 属 单位 的 真实 身份 。 如 果 用 户 发 现 网 银 登 录 页 面 没有 使 用 HTTPS 协议 , 那 
就 要 引起 重视 , 极 有 可 能 是 钓鱼 网 站 。 

另外 ,所 有 浏览 器 都 内 置 了 基于 SSL 协议 的 安全 验证 机 制 ,只 有 通过 了 SSL 认证 的 网 
站 ,浏览 器 才 会 显示 所 属 单位 的 名 称 , 如 图 6-20 所 示 。 如 果 没 有 看 到 认证 信息 , 那 就 需要 引 
起 重视 。 


图 || jcoss=o E -| hips//www360.cn/e 


| 文件 (月 ”编辑 (E) ”查看 (V) ”收藏 实 (A) ”工具 (T) 帮助 (H) 
窗 四 建 网 站 国 由 ReB 才 ” 四 Thinkpad 联 组 xl Carb.- 
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图 6-20 通过 了 SSL 认证 的 网 站 所 显示 的 单位 名 称 
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2) 检查 网 站 使 用 的 DNS 域名 

即使 打开 的 网 站 是 正规 且 知 名 的 网 站 (如 淘宝 网 ,京东 商城 等 ) ,除了 观看 页 面 之 外 还 需 
要 仔细 检查 网 站 使 用 的 DNS 域名 。 

3) 检查 网 站 是 否 提 供 身 份 验 证 功能 

一 般 情况 下 ,钓鱼 网 站 对 用 户 名 、 密 码 没 有 验证 功能 ,任意 输入 一 个 账户 和 密码 都 会 提 
示 登 录 成 功 ,并 让 用 户 付 款 。 如 果 用 户 怀疑 一 个 钓鱼 网 站 ,可 以 随机 输入 密码 进行 测试 。 

男 外 ,在 登录 网 站 输入 重要 信息 时 ,一 定 要 注意 辨别 真 伪 , 切 勿 轻易 输入 账户 和 密码 , 涉 
及 账号 、 密 码 及 动态 口令 的 操作 时 更 要 慎重 ; 不 要 轻易 相信 和 邮件 .QQ 上 传播 的 低 价 优惠 信 
息 , 钓 鱼网 站 通常 都 利用 用 户 的 心理 进行 诈骗 ; 对 于 网 上 支付 ,可 使 用 银行 提供 的 网 银 U 
盾 ,U 盾 中 存放 了 客户 端的 加 密 证 书 ,钓鱼 网 站 一 般 不 会 支持 U 盘 加 密 功 能 。 


6.6 黑 链 的 攻防 


黑 链 主要 指 黑客 在 网 站 代码 中 加 入 隐蔽 的 超 链接 和 一 些 特定 词汇 ,但 从 网 站 页 面 来 看 
一 切 正常 ,不 受 任何 影响 。 黑 链 复 改 是 指 黑客 通过 扫描 服务 器 的 弱 口 令 和 漏洞 ,然后 侵入 网 
站 ,再 把 链接 加 载 进去 的 过 程 。 


6.6.1 黑 链 的 实现 方法 


在 网 站 代码 中 , 黑 链 标签 被 放 在 一 个 隐藏 的 div 中 ,所 以 用 户 在 浏览 器 中 是 无 法 看 到 
的 ,但 是 在 HTML 源 代码 中 可 以 查看 到 ,同时 搜索 引擎 也 同样 能 捕捉 到 该 链接 ,这 也 是 为 
什么 将 该 隐藏 链 接 称 为 “ 黑 链 "的 原因 。 在 HTML 源 代码 中 , 黑 链 的 隐藏 方式 如 下 : 


<div style= "display:none;"> 
<a href = "www. 黑 链 域名 "> 黑 链 文本 </a> 
</div> 


黑客 这 样 做 的 目的 主要 是 通过 在 权重 较 高 的 网 站 (如 政府 和 高 校 网 站 ) 的 代码 中 加 入 超 
链接 ,欺骗 搜索 引擎 ,用 以 提高 指定 网 站 的 搜索 引擎 权重 ,从 而 达到 指定 网 站 搜索 引擎 优化 
的 目的 。 而 这 些 黑 链 通 常 都 是 赌博 、 色 情 、 私 服 游戏 等 非法 网 站 。 黑 链 目 前 已 经 形成 了 一 个 
地 下 产业 链 , 有 专门 售卖 黑 链 的 “黑市 ”。 

图 6-21 所 示 的 是 某 政府 网 站 被 加 载 黑 链 后 ,在 打开 网 站 源 代码 后 显示 的 信息 (以 正 浏 
览 器 为 例 , 可 以 在 打开 的 网 站 中 右 击 ,在 弹出 的 快捷 菜单 中 选择 “查看 源 文件 ”选项 打开 )。 
从 中 可 以 看 出 ,该 网 站 被 植 人 了 类 似 美 文 .电影 等 方面 的 文字 和 链接 。 


6.6.2 黑 链 的 应 用 特点 


黑 链 的 特点 是 在 短 时 间 内 可 以 迅速 提高 某 网 站 在 浏览 器 中 的 排名 。 由 于 很 多 搜索 引擎 
的 搜索 结果 通过 网 站 的 PR 值 (PageRank ,网 页 级 别 ) 来 排名 ,该 值 为 0 一 10, 其 值 越 高 说 明 
该 网 页 越 受 欢迎 ( 越 重 要 )。 一 个 网 站 的 外 部 链接 数 越 多 其 PR 值 就 越 高 ,外 部 链接 站 点 的 
级 别 越 高 网 站 的 PR 值 也 就 越 高 。 例 如 ,如 果 网 站 A 上 有 一 个 网 站 B 的 链接 ,那么 当 网 站 B 
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图 6-21 网 站 被 植 入 黑 链 后 显示 的 文字 和 链接 


受 欢迎 时 ,搜索 引擎 便 会 把 来 自 网 站 A 的 链接 质量 作为 它 对 网 站 B 的 衡量 标准 ,提高 其 PR 
值 。 通 过 黑 链 ,可 以 在 知名 度 高 的 网 站 上 单 向 链接 知名 度 低 的 网 站 ,以 此 来 提高 原来 知名 度 
低 的 网 站 在 搜索 引擎 中 的 排名 。 

用 户 可 以 利用 “站 长 工具 ”(http://tool. chinaz. com/) ,在 打开 的 页 面 中 输入 待 查 的 网 
站 地 址 后 , 单 击 “查询 ?按钮 来 查看 该 网 站 的 PR 值 ,如 图 6-22 所 示 。 




















Google PR 查询 | 真 假 PR 查询 | 搜狗 PR 查询 流量 利器 词 库 网 关键 词 优化 分 析 1 核 1G 阿 里 云 半年 免费 
请 给 入 要 查询 的 网 址 :| wwwjsgwyj.gov.cn/ 查询 
coogle 罗 5] 8 若 5] 
计算 PR 钵 出 值 


图 6-22 利用 “站 长 工具 ”查看 网 站 的 PR 值 


黑 链 一 般 用 于 暴利 的 黑色 产业 ,一 些 冷 门 行业 网 站 为 了 经 济 利益 吸 须 通过 黑 链 方式 提 
高 网 站 的 知名 度 。 因 为 黑 链 一 般 以 隐藏 链接 的 模式 存在 ,所 以 在 网 站 的 常规 检查 中 管理 员 
很 难 发 现 被 挂 了 黑 链 。 因 此 ,黑客 通过 黑 链 筑 改 网 站 得 到 越 来 越 普遍 的 应 用 ,也 成 为 搜索 引 
擎 重点 防范 的 对 象 。 

6.6.3 ” 黑 链 算 改 的 检测 和 防范 方法 

由 于 黑 链 算 改 的 实现 方法 非常 简单 ,因此 对 于 网 站 管理 人 员 来 说 不 需要 具备 太 高 深 的 
专业 知识 就 可 以 检测 出 某 一 网 站 是 否 被 黑 链 复 改 。 

1. 通过 查看 网 站 的 源 代码 来 检查 黑 链 

一 般 情况 下 , 黑 链 会 被 挂 在 网 站 的 首页 上 ,网 站 管理 员 只 需要 经 常 查看 网 站 首页 的 源 代 
码 ,就 可 以 检测 出 是 否 存在 黑 链 算 改 。 
通过 专业 工具 检查 黑 链 

可 使 用 “站 长 工具 ”的 “网 站 死 链 检测 ”功能 来 检测 该 网 站 固定 的 链接 地 址 ,在 所 有 链接 
中 当 发 现 可 疑 链 接 时 ,对 其 进行 进一步 确认 ,如 果 是 黑 链 则 将 其 删除 。 

3. 通过 查看 网 站 文件 的 修改 时 间 来 检查 黑 链 

黑客 在 通过 黑 链 算 改 某 一 网 站 后 ,其 网 页 文件 的 修改 时 间 会 发 生变 化 。 这 样 ,网 站 管理 
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人 员 可 以 经 常 查看 网 站 文件 的 最 后 修改 时 间 , 如 果 发 现 某 一 文件 的 修改 时 间 突 然 发 生 了 变 
化 , 则 可 以 怀疑 该 网 站 被 黑 链 自 改 。 


4. 


经 常 修改 网 站 上 传 文件 (FTP) 的 用 户 名 和 密码 


为 了 对 网 站 进行 远程 管理 ,一 般 每 一 个 网 站 都 有 一 个 针对 该 网 站 空间 的 管理 账号 ,网 站 
建设 者 和 管理 员 必 须 管 好 此 账号 的 用 户 名 和 密码 。 


和 


加 强 网 站 自身 管理 


主要 从 技术 上 尽量 选择 漏洞 少 的 建站 程序 ,同时 在 网 站 建设 中 尽 可 能 注意 其 安全 性 。 
另外 ,加 强 对 网 站 主机 (网 站 服务 器 ) 的 安全 管理 ,一 方面 防范 因 服务 器 操作 系统 漏洞 而 导致 
网 站 被 黑 链 算 改 , 另 一 方面 当 同一 台 服 务 器 上 同时 发 布 有 多 个 网 站 (这 种 现象 很 普遍 ) 时 , 需 
要 加 强 对 其 他 网 站 的 安全 管理 ,以 防 利用 其 他 网 站 的 漏洞 来 间接 攻击 本 网 站 。 


1 
2 
3 
4. 
5 
6 


全 


习 题 


. 回顾 WWW 的 发 展 过 程 , 简 述 Web 浏览 器 的 功能 。 
. Web 浏览 器 插件 存在 哪些 安全 风险 ”如 何 防范 ? 
. 什么 是 脚本 攻击 ?如何 防范 ? 


Web 浏览 器 存在 哪些 安全 风险 ? 


.Web 浏览 器 是 如 何 收集 用 户 信息 的 ? 如 何 防 范 ? 
. 以 下 为 例 ,介绍 Cookie 的 功能 、 组 成 及 安全 防范 方法 。 


针对 网 页 木马 攻击 的 特点 ,介绍 针对 服务 器 端 渗 透 攻击 与 针对 Web 浏览 嚣 端 渗 透 


攻击 的 异同 。 


8. 
9. 


10. 
11, 


网 页 挂 马 有 哪些 实现 方法 ? 

什么 是 内 赚 链 接 ? 如 何 通 过 内 嵌 链 接 实现 网 页 挂 马 ? 

什么 是 网 页 动态 视图 ? 如 何 通 过 网 页 动态 视图 实现 网 页 挂 马 ? 

什么 是 “环境 探测 十 动态 加 载 "?? 如 何 通 过 “环境 探测 十 动态 加 载 ”提高 网 页 木马 攻 


击 的 成 功率 ? 


. 名 词 解释 : 混淆 免 杀 、 人 机 识别 、 动 态 域名 解析 
.可 采取 哪些 方法 来 有 效 防范 网 页 木马 ? 
. 与 网 页 木马 相 比 ,钓鱼 网 站 在 实现 方法 上 有 何 特点 ? 
. 结合 图 6-17 ,介绍 网 络 钓鱼 攻击 的 实现 流程 。 

16. 
并 提出 应 对 措施 。 
i 


结合 具体 案例 ,并 联系 自己 日 常 网 络 应 用 实际 , 试 分 析 网 络 钓鱼 攻击 的 防范 方法 ， 


什么 是 黑 链 ? 黑 链 有 哪些 应 用 特点 ? 如 何 防范 黑 链 算 改 ? 


第 7 竟 移动 互联 网 应 用 的 攻防 


移动 互联 网 是 当前 信息 技术 领域 的 一 个 热门 话题 , 它 以 “无 处 不 在 的 网 络 ,无 所 不 能 的 
业务 ”思想 正在 改变 着 人 们 的 生产 、 生 活 和 工作 方式 。 移 动 互 联网 作为 一 项 应 用 技术 ,在 用 
户 数量 和 应 用 范围 上 已 远 远 超 过 了 人 们 的 预期 , 且 还 以 难以 预测 的 速度 和 应 用 方式 快速 地 
向 前 发 展 。 然 而 ,作为 互联 网 的 衍生 物 ,移动 互联 网 不 仅 要 解决 互联 网 中 已 存在 的 安全 问 
题 , 更 要 主动 发 现 和 处 理 移 动 应 用 中 的 各 类 安全 威胁 ,攻击 与 防范 之 间 的 较量 在 移动 互联 网 
中 显得 尤为 突出 。 


7.1 移动 互联 网 概述 


移动 互联 网 (Mobile Internet, MI) 使 得 人 们 可 以 通过 随身 携带 的 智能 手机 、PDA 
(Personal Digital Assistant, 个 人 数字 助理 ) .平板 电脑 等 移动 终端 随时 随地 乃至 于 在 移动 
状态 下 接 人 互联 网 ,不 受 线 缆 束 缚 ,自由 自在 地 享受 由 互联 网 带 来 的 各 类 服务 。 


7.1.1 移动 互联 网 的 概念 


到 目前 为 止 , 计 算 机 技术 的 发 展 先后 经 历 了 大 型 机 、 小 型 机 、 个 人 计算 机 、 桌 面 互联 网 和 
移动 互联 网 5 个 阶段 。 如 果 说 桌面 互联 网 实现 大 型 机 、 小 型 机 与 个 人 计算 机 之 间 的 互联 互 
通 ,为 互联 网 的 发 展 葛 定 了 坚实 的 基础 ,那么 移动 互联 网 技术 的 出 现 , 将 各 类 具有 通信 功能 
的 智能 移动 终端 接 入 了 互联 网 ,在 扩大 了 传统 互联 网 连接 范围 的 同时 ,扩大 了 互联 网 的 应 
用 。 与 此 同时 ,移动 互联 网 技术 的 出 现 和 各 类 传感器 技术 的 广泛 应 用 ,推动 了 物 联网 
(Internet of Things,IoT) 的 产生 和 快速 发 展 。 

移动 互联 网 已 成 为 学 术 界 和 工业 界 普 遍 关 注 的 热点 ,但 对 其 定义 目前 尚未 达成 共识 。 
其 中 ,2011 年 由 我 国 工业 和 信息 化 部 电信 研究 所 发 表 的 (移动 互联 网 白皮书 ) 中 对 移动 互联 
网 进行 了 如 下 描述 ; 移动 互联 网 是 以 移动 网 络 作为 接 入 网 络 的 互联 网 及 服务 ,包括 3 个 要 
素 : 移动 终端 移动 网 络 和 应 用 服务 。 由 该 描述 ,可 以 将 移动 互联 网 理解 为 移动 通信 网 络 与 
互联 网 的 融合 体 ,用 户 以 移动 终端 接 入 3G/4G/5G、WLAN、WiMax 等 无 线 移动 通信 网 络 ， 
进而 接 入 互联 网 。 同 时 ,由 于 接 入 互联 网 的 终端 具有 移动 性 、 可 定位 和 随身 携带 等 特点 , 利 
用 这 些 特点 可 以 为 用 户 提 供 个 性 化 的 服务 ,如 手机 定位 、 手 机 导航 等 。 

从 技术 角度 和 学 科 分 类 而 言 ,移动 互联 网 是 一 个 多 学 科 交 叉 ,涵盖 范围 广泛 的 研究 和 应 
用 领域 ,同时 涉及 互联 网 、 移 动 通信 无 线 网 络 、. 峙 入 式 系统 等 技术 。 根 据 目 前 的 研究 现状 ， 
从 体系 结构 上 可 将 移动 互联 网 分 为 3 个 不 同 层次 ,而 且 每 层 都 包含 相关 的 安全 及 隐私 保护 
等 问题 ,如 图 7-1 所 示 。 
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图 7-1 移动 互联 网 体系 结构 示意 图 


7.1.2 移动 终端 


移动 终端 是 移动 互联 网 体系 的 最 末端 , 它 直接 面 对 的 是 广大 的 用 户 ,决定 着 移动 互联 网 
的 应 用 和 发 展 。 随 着 移动 终端 技术 的 不 断 发 展 ,移动 终端 逐渐 具备 了 较 强 的 计算 、 存 储 和 处 
理 能 力 , 同 时 提供 了 触摸 屏 、 定 位 、 视 频 摄 像 头等 功能 ,拥有 了 智能 操作 系统 和 开放 的 软件 

台 。 

当前 主要 的 智能 终端 操作 系统 有 Google 的 Android( 安 卓 ) 微软 的 Windows Mobile、 
Nokia( 诺 基 亚 ) 的 Symbian( 注 : 微软 已 于 2013 年 9 月 3 日 宣布 收购 了 Nokia 的 手机 业务 )、 
Apple 的 iOS 和 RIM 的 Blackberry OS( 注 : 2013 年 9 月 30 日 ,加 拿 大 RIM 公司 宣布 其 手 
机 名 称 为 Blackberry, 即 黑莓 手机 ) 等 。 目 前 ,我 国 大 量 使 用 的 手机 等 移动 终端 多 采用 
Android 和 iOS 智能 操作 系统 。 采 用 智能 操作 系统 的 移动 手机 ,除了 具备 通话 和 短信 等 传 
统 手机 具备 的 功能 外 ,还 具有 网 络 扫 描 、 能 量 监控 \ 节 能 控制 .接口 选择 、 蓝 牙 接口 .后 台 处 
理 、 位 置 感知 (定位 ) 等 功能 。 这 些 功能 使 得 智能 手机 在 社交 网 络 ,环境 监控 、 交 通 管 理 、 医 疗 
卫生 等 领域 得 到 越 来 越 多 的 应 用 。 对 于 智能 手机 而 言 , 节 能 和 定位 是 非常 重要 的 两 项 功能 。 

1. 节能 

移动 终端 功能 的 不 断 增 强 ,能 耗 需求 和 有 限 的 电池 容量 之 间 的 矛盾 日 益 加 剧 ,制约 着 移 
动 互联 网 的 应 用 。 因 此 ,需要 从 硬件 设置 ,芯片 .显示 屏 等 元 器 件 的 低能 耗 设 计 等 方面 着 手 ， 
研究 节能 技术 。 其 中 ,无 线 接口 ( WLAN、3G/4G/5G 通信 等 ) 是 移动 终端 中 主要 的 能 量 消 
耗 组 件 之 一 ,在 其 进行 数据 传输 时 ,能 量 消耗 最 为 明显 ,所 以 为 了 节能 ,必要 时 可 以 暂时 关闭 
WLAN 无 线 上 网 功能 。 

2. 定位 

定位 技术 是 移动 终端 的 另 一 项 重要 功能 , 它 是 智能 手机 所 具备 的 一 项 关键 技术 。 定 位 ， 
也 称 为 位 置 感知 ,是 指 借助 已 知 空 间 中 的 一 组 参考 点 的 位 置信 息 ,来 动态 地 获得 该 空间 中 移 
动用 户 位 置 的 过 程 。 目 前 使 用 的 无 线 定位 技术 主要 分 为 3 种 类 型 : 使 用 GPS( 全 球 定位 系 
统 ) .北斗 卫星 导航 系统 、 伽 利 略 卫星 导航 系统 的 卫星 定位 技术 ,利用 2G/3G/4G/5G 蜂窝 基 
站 、WLAN 访问 点 (Access Point,AP) 等 信息 基础 设施 的 网 络 定位 技术 ,使 用 RFID( 射 频 识 
别 ) 超声波、 红外 线 等 无 线 方式 判定 其 信号 覆盖 范围 内 物体 位 置 的 感知 定位 技术 。 
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需要 说 明 的 是 ,目前 使 用 的 智能 手机 终端 一 般 同 时 提供 了 至 少 3 种 不 同 的 定位 功能 。 

1) 蜂窝 基站 定位 

传统 的 手机 定位 ,通过 移动 运营 商 的 蜂窝 基站 ,可 以 对 使 用 GMS、CDMA、3G/4G 等 制 
式 的 手机 进行 定位 。1996 年 美国 联邦 通信 委员 会 (FCC) 颁 布 的 E-911 规定 : 全 美 移动 通信 
运营 商 必 须 提 供 移动 终端 的 定位 信息 。 目 前 ,这 项 定位 功能 在 我 国 未 被 民用 。 

2) GPS 定位 

GPS 定位 是 目前 最 常用 的 一 种 定位 方式 ,主要 用 于 交通 导航 ,以 及 对 重要 标志 物 ( 如 建 
筑 、 桥 梁 、 工 程 设 施 等 ) 地 理 位 置 坐标 的 确定 等 。 不 过 ,在 隧道 、. 树 荫 遮 盖 路 段 、 高 楼 之 间 、 立 
交 桥 下 等 环境 中 ,GPS 信和 号 会 被 屏蔽 ,将 暂时 失去 直接 定位 功能 。 

3) WLAN 定位 

WLAN 定位 即 利用 手机 上 的 无 线 局 域 网 ( 即 Wi-Fi) 进 行 定位 。 简 单 来 说 , 当 用 户 携带 
已 打开 Wi-Fi 通信 功能 的 手机 进入 某 个 (家 庭 .单位 或 运营 商 )WLAN 信号 的 覆盖 范围 时 ， 
AP( 如 家 用 的 无 线路 由 器 ) 便 会 记录 用 户 手 机 上 无 线 网 卡 的 MAC 地 址 等 信息 ,如果 将 这 些 
信息 集中 起 来 ,结合 每 个 AP 的 分 布 位 置 ,就 可 以 确定 用 户 的 具体 位 置 ,或 什么 时 间 去 过 什 
么 地 方 。 目 前 ,WLAN 是 用 户 隐私 被 泄露 的 主要 方式 之 一 。 


7.1.3 接 入 网 络 


接 入 网 络 是 指 移动 互联 网 中 直接 负责 将 移动 终端 设备 接 入 互联 网 的 网 络 ,这 些 网 络 既 
可 能 是 运营 商 的 网 络 ( 如 3G/4G 等 ), 也 可 能 是 用 户 自 建 的 网 络 ( 如 家 用 无 线 局 域 网 等 )。 

根据 网 络 覆盖 范围 的 不 同 ,可 以 将 现 有 的 无 线 接 入 网 络 分 为 5 种 不 同 的 类 型 : 卫星 通 
信和 网 络 、 蜂 帘 网 络 ( 如 3G、4G 等 ,根据 规划 ,2020 年 5G 也 将 投入 使 用 )、 无 线 城 域 网 
(WiMax, 但 该 技术 目前 在 国内 尚未 使 用 ) 无 线 局 域 网 (WLAN, 也 称 为 Wi-Fi) 和 基于 蓝牙 
技术 的 无 线 个 域 网 (例如 ,由 靠 得 很 近 的 手机 之 间或 手机 与 iPad 之 间 通 过 蓝牙 连接 后 形成 
的 网 络 )。 在 以 上 网 络 接 入 方式 中 ,蜂窝 网 络 覆 盖 范 围 大 ,移动 性 好 ,可 管理 技术 成 熟 , 但 存 
在 带宽 低 、 数 据 通信 成 本 高 等 缺点 。WLAN 的 优势 是 带宽 高 ,使 用 成 本 低 , 但 其 覆盖 范围 有 
限 , 设 备 的 移动 性 较 差 。 目前 ,国内 移动 互联 网 使 用 的 无 线 接 入 主要 以 WLAN 为 主 ,蜂窝 
网 络 为 辅 。 

另外 ,现在 很 多 公共 场所 和 公共 交通 工具 上 也 为 用 户 提供 了 免费 的 WLAN 上 网 服务 ， 
其 网 络 连 接 方 式 一 般 采 取 了 图 7-2 中 的 某 种 方式 。 例 如 ,在 许多 家 庭 都 安装 有 无 线路 由 器 
(无 线 AP) ,无 线路 由 器 一 般 采 用 局 域 网 (如 以 太 网 ) 或 ADSL 拨号 等 方式 连接 到 Internet; 
而 在 公交 车 上 ,安装 在 公交 车 上 的 无 线 AP 一 般 通 过 3G 、4G 或 4G 移动 方式 接 入 Internet。 


>>> WLAN、 4G、ADSL 等 二 


2 
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图 7-2 公共 场所 免费 WLAN 的 网 络 连 接 方式 示意 图 
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随 着 移动 互联 网 的 迅猛 发 展 , 无 线 接 和 网络 承载 的 业务 已 经 由 原来 的 单一 语音 ,转变 到 
现在 的 综合 语音 数据 和 图 像 的 多 媒体 应 用 ,无 论 是 移动 性 带宽、 实时 人 性、 覆盖 范围 ,还 是 可 
管理 性 和 可 融合 性 , 原 有 接 人 网 络 已 经 无 法 满足 其 需求 。 目 前 ,4G 网 络 的 全 面 推广 似乎 解 
决 了 移动 互联 网 中 存在 的 一 些 问题 ,但 信号 覆盖 范围 数据 业务 与 语音 业务 的 融合 等 关键 问 
题 还 没有 很 好 地 解决 ,等 到 5G 到 来 后 ,这 些 问 题 是 不 是 会 全 部 解决 ,仍然 还 是 一 个 未 知 数 。 
同时 ,任何 一 项 新 应 用 的 出 现 ,同时 也 会 伴随 着 新 安全 问题 的 产生 。 


7.1.4 应 用 服务 


网 络 的 核心 是 应 用 ,网 络 中 其 他 技术 都 是 为 应 用 而 服务 的 。 与 传统 的 互联 网 应 用 相 比 ， 
移动 互联 网 的 应 用 必须 支持 可 移动 性 和 内 容 的 可 定制 性 ,尤其 提供 的 内 容 要 视 不 同 的 社会 
群体 需要 能 够 自由 选择 和 定制 。 目 前 ,主要 的 应 用 服务 包括 移动 搜索 、 移 动 社交 网 络 、 移 动 
电子 商务 .基于 智能 手机 的 定位 服务 等 。 

1. 移动 搜索 

百度 .Google 等 传统 的 互联 网 搜索 服务 为 传统 互联 网 应 用 带 来 了 极 大 的 便利 ,为 人 们 
获取 知识 .寻求 帮助 .促进 交流 提供 了 途径 ,加 速 了 互联 网 应 用 的 发 展 。 移 动 搜索 以 移动 互 
联网 应 用 为 特点 ,提出 了 比 传统 搜索 服务 更 多 的 需求 。 

移动 搜索 是 指 基 于 移动 网 络 的 搜索 技术 ,具体 是 指 用 户 通过 智能 手机 、PDA ,平板 电脑 
等 移动 终端 设备 ,利用 浏览 器 短信、 交互 式 语 音 应 答 (Interactive Voice Response,IVR) 等 
多 种 搜索 方式 ,获取 所 需 的 信息 和 服务 。 

虽然 移动 搜索 是 对 传统 互联 网 搜索 服务 的 扩展 ,但 移动 搜索 在 用 户 操作 的 便捷 性 、 搜 索 
结果 的 显示 方式 以 及 个 性 化 服务 等 方面 都 表现 出 了 不 同 以 往 的 要 求 。 例 如 ,由 于 手机 等 移 
动 终端 在 屏幕 显示 、 输 入 方式 网络 带 宽 、 电 能 等 方面 都 受到 了 限制 ,因此 移动 搜索 的 显示 结 
果 在 能 够 正确 表述 内 容 的 前 提 下 应 尽 可 能 简约 ,力求 一 目 了 然 。 也 可 以 采用 分 级 显示 的 方 
式 , 根 据 用 户 选 择 , 从 简 到 繁 逐 级 显示 。 

2. 移动 社交 网 络 

社交 网 络 服务 (Social Networking Services,SNS) 是 指 为 一 群 拥有 相同 兴趣 或 存在 社会 
关系 的 人 创建 的 在 线 社 区 。 这 类 服务 往往 是 基于 互联 网 ,为 用 户 提供 各 种 联系 、 交 流 的 交互 
通路 ,如 电子 邮件 .即时 通信 服务 (如 QQ、MSN) 等 。 

SNS 源 自 网 络 社交 ,从 网 络 出 现 开始 ,人 们 之 间 便 通过 电子 邮件 实现 点 对 点 的 信息 发 
送 , 随 后 出 现 的 BBS 实现 了 一 对 多 点 的 信息 发 布 ,BBS 把 网 络 社 交 向 前 推进 了 一 步 。 即 时 
通信 (IM) 和 博客 (Blog) 更 像 是 前 面 两 个 社交 工具 的 升级 版 本 ,IM 提高 了 即时 效果 (传输 速 
度 ) 和 同时 交流 能 力 (并 行 处 理 ) ,而 Blog 则 开始 体现 社会 学 和 心理 学 的 理论 : 信息 发 布 节 
点 开始 体现 越 来 越 强 的 个 体 意识 ,因为 在 时 间 维度 上 的 分 散 信息 开始 可 以 被 聚合 ,进而 成 为 
信息 发 布 节点 的 “形象 "? 和 “性 格 ”。 

随后 的 发 展 更 是 目不暇接 ,网 络 社交 衍生 出 了 社交 网 络 , 从 Facebook、Twitter、 
YouTube, 到 人 人 、 微 博 、 优 酷 ,从 以 前 的 短信 拜年 ,到 现在 越 来 越 多 的 微 信和 祝福 。 由 此 可 以 
这 样 来 描述 移动 社交 网 络 : 它 并 不 是 新 生 事物 ,更 像 是 社交 网 络 服务 与 移动 终端 特性 的 自 
然 结合 。 简 单 地 说 ,就 是 用 户 将 进行 网 络 社交 活动 的 媒介 ,更 多 地 从 传统 的 Web 网 页 转移 
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到 了 移动 APP(application 的 缩写 ) 上 。 而 这 个 看 似 简单 的 转移 , 却 包含 了 不 小 的 意义 , 即 
从 社交 网 络 服务 形成 初期 ,人 们 逐渐 将 线 下 生活 的 更 完整 的 信息 流转 移 到 线 上 进行 低 成 本 
管理 ,从 而 发 展 为 大 规模 的 虚拟 社交 ,到 现在 通过 移动 终端 更 紧密 地 结合 了 现实 生活 的 各 种 
元 素 ,形成 虚拟 社会 与 真实 社会 的 更 深层 的 交织 。 

3. 自 媒 体 

在 由 谢 因 波 曼 与 克 里 斯 威 理 斯 两 位 学 者 联合 提出 的 “We Media”( 自 媒体 ) 研 究 报告 中 ， 
对 自 媒体 进行 了 较为 严谨 的 定义 :“ 自 媒体 是 普通 大 众 经 由 数字 科技 强化 与 全 球 知 识 体系 
相连 之 后 ,一 种 开始 理解 普通 大 众 如 何 提供 与 分 享 他 们 自身 的 事实 、 新 闻 的 途径 。” 根 据 这 一 
定义 ,可 以 将 自 媒体 理解 为 : 普通 大 众 用 以 发 布 自己 亲眼 所 见 、 亲 耳 所 闻 事 件 的 载体 ,这 些 
载体 包括 博客 微 博 、 微 信 、 论 坛 /BBS 和 个 人 门户 等 网 络 社 区 。 自 媒体 是 一 种 “公民 媒体 ” 
或 “个 人 媒体 ”, 它 的 特点 是 私人 化 .平民 化 、 泛 在 化 和 自主 化 。 

在 自 媒体 时 代 , 原 有 的 “主流 媒体 ”不 再 是 社会 声音 的 唯一 来 源 ,也 不 再 是 “统一 的 声 
音 ”, 普 通 大 众 都 可 能 成 为 信息 的 生产 者 \ 传 播 者 和 分 享 者 。 传 统 的 新 闻 媒 体 在 传播 者 与 受 
众 之 间 存 在 一 条 很 明晰 的 界线 ,是 一 种 自 上 而 下 ”的 “点 到 面 " 的 传播 方式 ,而 自 媒 体 打破 了 
这 一 格局 ,通过 * 点 到 点 ”或 “点 到 多 点 ”的 传播 方式 ,每 个 人 既是 媒体 的 传播 者 也 是 新 闻 提供 
者 。 各 种 形式 的 自 媒体 使 得 原来 处 于 新 闻 制 造 边缘 的 受众 成 为 新 闻 信息 传播 的 中 坚 力量 ， 
传统 媒体 受到 自 媒体 的 挑战 。 目 前 , 自 媒体 平台 主要 有 美国 的 Facebook 和 Twitter, 中 国 的 
QQ 空间 ,新浪 微 博 、 腾 讯 微 博 、 微 信 朋 友 圈 、 微 信 公 众 平台 、 人 人 网 、 百 度 贴吧 、 皮 皮 精 灵 等 。 


7.1.5 安全 与 隐私 保护 


安全 是 一 个 永恒 的 命题 。 移 动 互 联网 不 仅 要 解决 传统 互联 网 中 存在 的 安全 问题 ,而 且 
还 要 不 断面 对 新 环境 中 出 现 的 新 的 安全 问题 。 对 于 任何 一 种 网 络 类 型 或 应 用 来 说 ,如 果 安 
全 问题 解决 不 好 ,必然 会 影响 甚至 是 阻碍 其 应 用 的 发 展 。 

在 图 7-1 所 示 的 移动 互联 网 体系 结构 中 ,每 一 个 层面 都 会 涉及 安全 问题 ,而 且 任何 一 个 
安全 问题 的 出 现 ,都 会 影响 到 整个 移动 互联 网 的 应 用 。 下 面 , 通 过 移动 终端 的 安全 和 定位 信 
息 安全 两 个 实例 ,分 析 移动 互联 网 存在 的 安全 问题 和 隐私 保护 问题 。 

1. 移动 终端 的 安全 

与 传统 互联 网 中 的 服务 器 和 个 人 计算 机 相 比 ,移动 互联 网 中 的 移动 终端 在 安全 技术 的 
实施 上 存在 以 下 困难 或 不 足 。 

(1) 移动 终端 的 内 存 .CPU 处 理 能 力 和 通信 能 力 有 限 ,所 以 一 些 在 传统 互联 网 中 很 成 
熟 的 安全 方案 在 移动 互联 网 中 很 难 部 署 。 例 如 ,针对 个 人 计算 机 的 防 病毒 系统 要 求 提供 较 
大 的 存储 空间 来 存放 病毒 库 ,但 对 手机 等 终端 来 说 实现 起 来 较为 困难 。 

(2) 由 于 移动 互联 网 的 应 用 特点 ,许多 恶意 代码 的 传播 更 快 ,影响 面 更 广 ,造成 的 威胁 
更 大 。 

(3) 手机 需要 长 时 间 处 于 开机 状态 ,这 为 黑客 的 攻击 提供 了 更 大 的 可 能 性 和 更 高 的 成 
功率 。 

(4) 手机 等 移动 终端 设备 上 一 般 都 会 保存 联系 人 信息 、 照 片 等 与 设备 拥有 者 相关 的 敏 
感 信息 ,这 些 信息 对 黑客 来 说 具有 更 大 的 吸引 力 ,为 此 用 户 信息 被 窃取 、 监 视 和 攻击 的 可 能 
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性 更 大 。 

另外 ,目前 国内 大 量 终端 都 采用 Android 这 一 开源 操作 系统 ,其 开放 性 在 为 APP 开发 
提供 便利 的 同时 ,同样 也 降低 了 攻击 软件 的 编写 和 成 功 入侵 的 门槛 。 

2. 定位 信息 安全 

定位 是 移动 互联 网 中 一 项 非常 重要 的 应 用 。 由 于 定位 过 程 和 结果 都 依赖 于 手机 拥有 者 
的 个 人 信息 ,因此 由 定位 而 引起 的 隐私 保护 在 移动 互联 网 中 将 显得 非常 重要 。 定 位 涉及 用 
户 曾经 去 过 哪里 ,正在 做 什么 ,将 要 去 哪里 ,还 有 与 谁 在 什么 时 间 去 过 哪里 ,正在 与 谁 在 一 起 
等 。 这 些 问题 都 属于 个 人 隐私 保护 的 范畴 ,一 旦 被 窃取 和 利用 ,将 会 对 终端 拥有 者 及 相关 人 
员 造 成 很 大 的 危害 。 为 此 , 随 着 移动 互联 网 应 用 范围 的 快速 扩展 ,与 位 置 相关 的 用 户 隐私 保 
护 引起 社会 普遍 关注 。 


7.2 智能 移动 终端 系统 的 攻防 


智能 移动 终端 是 移动 互联 网 中 重要 的 组 成 部 分 。 结合 当 前 实际 应 用 ,本 节 主 要 以 
Android 手机 应 用 为 基础 ,对 Android 操作 系统 及 APP 的 主要 安全 问题 进行 介绍 。 


7.2.1 登录 安全 


当 用 户 通 过 手机 等 终端 进行 网 络 支 付 等 操作 时 首先 要 进行 登录 。 在 登录 过 程 中 ,系统 
要 求 用 户 输入 账号 名 称 、 密 码 以 及 用 户 的 身份 证 号 码 等 信息 ,之 后 再 由 客户 端 软件 与 服务 器 
端 进 行 通信 ,完成 用 户 的 上 网 行为 。 在 这 一 过 程 中 ,一 旦 用 户 的 登录 过 程 被 攻击 者 监视 或 动 
持 , 通 信 数 据 被 截获 或 破解 ,将 会 产生 严重 的 安全 问题 。 根 据 对 各 类 安全 事件 的 综合 分 析 ， 
目前 较为 严重 的 安全 隐患 主要 有 由 加 密 机 制 引 起 的 安全 问题 和 由 服务 器 证 书 验证 产生 的 安 
全 问题 两 个 方面 。 

1. 加 密 机 制 的 安全 问题 

加 密 机 制 安全 问题 是 指 因 加 密 算法 或 方法 不 完整 或 过 于 简单 ,而 被 攻击 者 动 持 和 破解 。 
数据 加 密 是 信息 安全 中 采用 最 为 广泛 的 一 种 方法 ,也 是 其 他 安全 技术 的 基础 和 保障 。 目 前 ， 
银行 客户 端 等 安全 应 用 的 登录 加 密 机 制 一 般 采 用 HTTPS 和 “HTTP 十 数据 加 密 ” 两 种 方 
式 。 其 中 ,大 部 分 安全 客户 端 采用 目前 互联 网 通用 的 HTTPS 加 密 机 制 ,但 也 有 部 分 安全 客 
户 端 采用 “HTTP 十 数据 加 密 ” 机 制 。 

(1) HTTPS 方 式 。HTTPS(HyperText Transfer Protocol over Secure Socket Layer， 
基于 安全 套 接 字 层 的 超 文 本 传输 协议 ) ,是 以 安全 为 目标 的 HTTP 通道 ,是 基于 HTTP 协 
议 的 安全 版 本 。HTTPS 协议 是 在 HTTP 协议 中 加 入 SSL 层 , 由 SSL 协议 负责 其 安全 性 ， 
用 于 安全 的 HTTP 数据 传输 。HTTP 报 文中 信息 是 以 明文 方式 传输 的 ,而 HTTPS 则 是 通 
过 具有 安全 加 密 机 制 的 SSL 加 密 方 式 进行 传输 。 另 外 ,HTTP 的 连接 方式 很 简单 ,是 一 种 
无 状态 的 连接 方式 ,而 HTTPS 协议 是 由 SSL 十 HTTP 协议 构建 的 可 进行 加 密 传输 、 身 份 
认证 的 网 络 协 议 。 其 连接 的 建立 需要 一 套 完善 的 交互 机 制 的 保障 。 

(2) “HTTP 十 数据 加 密 ” 方 式 .。“HTTP 十 数据 加 密 ” 方 式 是 指使 用 HTTP 方式 进行 传 
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输 , 而 采用 加 密 机 制 对 传输 的 数据 进行 加 密 处 理 。 在 该 安全 机 制 中 ,如 果 数 据 加 密 机 制 不 完 
整 或 过 于 简单 ,就 会 存在 安全 风险 。 这 里 以 一 个 实例 说 明 该 安全 机 制 存 在 的 问题 , 当 采 用 
“HTTP 十 数据 加 密 ? 方 式 时 ,加 密 后 的 数据 ( 密 文 ) 对 HTTP 协议 来 说 是 以 “明文 ”来 对 待 
的 ,可 以 通过 抓 包 软件 ,得 到 如 图 7-3 所 示 的 信息 (注意 : 对 于 略 懂 计算 机 网 络 知识 的 人 来 
说 ,是 一 件 非常 简单 的 事情 ) 。 这 时 ,不 管 其 中 的 内 容 是 不 是 进行 了 加 密 , 只 需要 原样 进行 复 
制 后 进行 提交 ,就 可 以 登录 服务 器 ,实现 攻击 目的 。 将 这 种 攻击 方式 称 为 “ 重 放 攻击 ”。 














图 7-3 抓 包 显示 的 HTTP 协议 中 传输 的 信息 








“ 重 放 攻击 ”(replay attacks) 也 称 为 新 鲜 性 攻击 (freshness attacks) , 即 攻击 者 通过 重 放 
消息 或 消息 片段 达到 对 目标 主机 进行 欺骗 的 攻击 行为 ,主要 用 于 破坏 认证 的 正确 性 。 重 放 
攻击 是 攻击 行为 中 危害 较为 严重 的 一 种 。 例 如 ,客户 C 通过 签名 授权 银行 B 转账 给 客户 
A, 如 果 攻 击 者 P 窃听 到 该 消息 ,并 在 稍 后 重 放 该 消息 ,银行 将 认为 客户 C 需要 进行 两 次 转 
账 ,从 而 使 客户 账户 C 遭受 损失 。 

2. 服务 器 证 书 验证 安全 问题 

服务 器 证 书 验证 存在 的 安全 问题 是 , 当 客户 端 登录 服务 器 时 ,在 通信 过 程 中 不 对 服务 器 
端 身份 的 合法 性 进行 验证 ,从 而 导致 登录 过 程 容易 被 “中 间 人 攻击 ”支持 。 

如 图 7-4 所 示 , 中 间 人 攻击 (Man-in-the-Middle Attack, MITM) 是 一 种 “间接 ”的 入 侵 攻 
击 方式 ,通过 各 种 技术 手段 将 受 入 侵 者 控制 的 一 台 计 算 机 (或 手机 ) 虚 拟 放置 在 网 络 连 接 中 
的 两 台 通信 计算 机 之 间 , 这 台 计 算 机 就 称 为 “中 间 人 ”(MIT)。 然 后 人 侵 者 把 这 台 计 算 机 模 
拟 成 一 台 或 两 台 原 始 计算 机 ,使 “中间 人 ”能 够 与 原始 计算 机 建立 活动 连接 并 允许 其 读 取 或 
修改 传递 的 信息 ,然而 两 个 原始 计算 机 用 户 却 认为 他 们 是 在 互相 进行 直接 通信 。 
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图 7-4 中 间 人 攻击 实现 过 程 示意 图 


利用 中 间 人 攻击 方式 ,攻击 者 可 以 冒充 服务 器 与 客户 端 进行 通信 ,之 后 再 冒充 客户 端 与 
服务 器 进行 通信 ,在 充当 中 间 人 的 过 程 中 窃取 了 用 户 信息 (如 账号 、 密 码 等 )。 在 图 7-4 所 示 





第 7 章 移动 互联 网 应 用 的 攻防 231 





的 中 间 人 攻击 中 ,由 于 客户 端 没 有 对 服务 器 的 证 书 进行 验证 (没有 验证 与 其 通信 的 服务 器 的 
身份 ), 即 客户 端 默认 信任 所 有 的 服务 器 。 利 用 这 种 信任 ,中 间 人 中 转 了 HTTPS 中 的 SSL 
通信 过 程 。 这 样 一 来 ,与 客户 端 通信 的 并 不 是 服务 器 而 是 中 间 人 。 中 间 人 在 知道 了 用 于 通 
信 的 密码 后 ,就 可 以 对 HTTPS 的 通信 数据 进行 窃听 。 其 窃听 过 程 为 : 中 间 人 将 自己 的 证 
书 提供 给 客户 端 ,而 客户 端 在 不 进行 验证 的 情况 下 ,信任 并 使 用 此 证 书 对 要 传输 的 数据 进行 
加 密 , 之 后 再 传 给 中 间 人 。 

在 以 上 攻击 过 程 中 ,好 像 所 有 通信 过 程 中 的 信息 都 是 经 过 HTTPS 协议 加 密 的 ,但 由 于 
该 密 钥 本 来 就 是 中 间 人 与 客户 端 之 间 “ 协 商 ” 而 来 的 ,因此 中 间 人 收 到 加 密 数据 包 后 ,就 可 以 
很 方便 地 进行 解密 处 理 得 到 明文 信息 。 对 于 用 户 来 说 ,由 于 是 与 虚假 的 服务 器 进行 通信 , 因 
此 所 有 通信 内 容 事实 上 全 部 可 以 被 中 间 人 获得 。 所 以 , 像 网 上 银行 这 些 机 构 ,如果 不 能 严格 
地 确定 参与 通信 者 的 身份 ,那么 任何 加 密 手 段 的 使 用 都 没有 意义 。 攻 击 者 在 窃取 了 通信 数 
据 后 , 便 可 以 冒充 合法 用 户 进行 登录 ,也 可 以 制作 钓鱼 网 站 从 事 非 法 行为 。 中 间 人 既 欺 骗 了 
客户 端 ,也 欺骗 了 服务 器 。 

针对 服务 器 登录 过 程 存在 的 安全 威胁 ,最 有 效 的 解决 办 法 是 采用 相对 完善 的 HTTPS 
安全 机 制 。 


7.2.2 软 键盘 输入 安全 


软 键 盘 是 通过 软件 模拟 传统 计算 机 键盘 的 功能 ,通过 鼠标 单 击 或 手指 按压 输入 字符 的 
-种 软件 。 软 键盘 可 以 防止 木马 记录 键盘 输入 的 用 户 账户 与 密码 等 敏感 信息 ,原来 多 用 于 
银行 网 站 上 要 求 用 户 输入 账号 和 密码 的 地 方 ,现在 几乎 所 有 的 移动 终端 设备 都 提供 了 软 键 
盘 功能 。 其 实 ,Windows 操作 系统 早已 提供 了 软 键 盘 程序 “Osk. exe” (图 7-5), 具 体位 于 
C:\Windows\system32 目录 下 。 




















7-5 ”Windows 操作 系统 自 带 的 软 键盘 


1. 软 键盘 输入 方式 

借鉴 台式 计算 机 上 通过 强制 用 户 安装 安全 插件 后 才能 显示 输入 框 这 一 安全 保护 措施 ， 
手机 等 智能 移动 终端 设备 在 客户 端 软 件 的 信息 输入 框 处 定制 了 一 套 自己 的 输入 方式 , 即 通 
过 软 键盘 输入 来 防止 恶意 输入 法 等 应 用 软件 窃取 用 户 信息 。 

移动 终端 上 采取 的 软 键盘 一 般 分 为 3 种 类 型 : 系统 默认 输入 法 、 自 绘 固 定 软 键盘 和 自 
绘 随机 软 键盘 。 其 中 ,使 用 系统 默认 输入 法 时 安全 性 最 差 , 而 自 绘 随机 软 键盘 的 安全 性 能 
最 好 。 
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1) 系统 默认 输入 法 

系统 默认 输入 法 是 指 用 户 设置 的 默认 输入 法 。 系 统 默 认输 入 法 并 不 一 定 是 系统 自 带 的 
输入 法 ,也 可 能 是 第 三 方 的 输入 法 。 对 于 Android 操作 系统 来 说 ,用 户 一 般 使 用 “文本 编辑 
框 ”(Edit Text) 输 入 内 容 , 而 这 一 过 程 调 用 的 便 是 系统 默认 输入 法 。 因 为 默认 输入 法 的 实 
现 是 独立 于 操作 系统 和 客户 端 软件 的 ,是 一 个 独立 的 软件 ,所 以 当 用 户 使 用 默认 输入 法 输入 
信息 时 ,输入 的 内 容 其 实 是 由 输入 法 进程 交 给 客户 端 程序 。 因 此 ,一 旦 默认 输入 法 程序 感染 
了 恶意 代码 ,或 该 输入 法 被 具有 记录 键盘 输入 功能 的 恶意 代码 控制 , 则 会 导致 所 有 输入 的 信 
息 被 窃取 。 

2) 自 绘 固定 软 键盘 

出 于 安全 考虑 , 像 网 上 银行 等 对 输入 安全 要 求 高 的 移动 终端 客户 端 会 在 密码 输入 框 处 
使 用 自己 绘制 的 密码 输入 键盘 ,以 避免 可 能 出 现 的 被 第 三 方 输入 法 程序 窃取 这 一 风险 。 不 
过 , 当 自 绘 软 键盘 采用 固定 分 布 方式 时 ,由 于 每 次 打开 输入 法 时 出 现 的 软 键盘 上 字母 ,数字 
和 特殊 符号 的 分 布 位 置 是 固定 的 ,恶意 程序 可 以 通过 记录 用 户 在 屏幕 上 的 单 击 位 置信 息 ,再 
配合 自 绘 固定 软 键盘 的 功能 设置 来 猜测 用 户 输入 的 信息 。 

3) 自 绘 随机 软 键盘 

自 绘 随机 软 键盘 是 安全 性 最 高 的 一 种 软 键盘 输入 方式 。 由 于 每 次 打开 软 键盘 时 ,字母 、 
数字 和 特殊 符号 在 键盘 上 的 分 布 位 置 是 随机 性 的 ,因此 可 以 大 大 提高 攻击 者 的 门槛 。 因 为 ， 
恶意 程序 即使 记 下 了 用 户 在 屏幕 上 的 单 击 位 置信 息 , 但 能 够 正确 猜测 具体 输入 内 容 的 可 能 
性 是 很 小 的 。 

2. 软 键盘 输入 的 安全 

对 于 网 上 银行 等 安全 要 求 高 的 客户 端 ,在 使 用 输入 法 时 建议 采用 自 绘 随机 软 键盘 方式 。 
在 移动 终端 客户 端 输入 过 程 中 ,很 多 人 习惯 于 使 用 分 布 格局 与 传统 键盘 相同 的 软 键盘 输入 
方式 ( 绝 大 多 数 自 绘 固定 软 键盘 都 是 这 样 ) ,对 于 字符 分 布 没有 规律 的 自 绘 随机 软 键盘 方式 
不 太 喜 欢 , 甚 至 认为 很 麻烦 ,产生 应 用 上 的 抵触 情绪 。 对 于 有 这 种 认识 的 用 户 来 说 ,必须 强 
调 这 样 一 个 事实 : 安全 与 便利 之 间 是 成 反比 的 。 

需要 说 明 的 是 ,在 信息 领域 没有 绝对 的 安全 ,输入 法 也 是 这 样 。 虽 然 自 绘 随机 软 键盘 大 
大 提高 了 输入 法 的 安全 性 和 被 攻击 的 难度 ,但 如 果 攻 击 者 针对 某 个 (如 某 一 网 上 银行 ) 客 户 
端 软件 事先 植 人 了 恶意 代码 ,攻击 者 同样 也 能 够 窃取 到 用 户 输入 的 信息 。 对 于 这 种 极端 攻 
击 现象 ,一 般 是 很 难 预 防 的 。 


7.2.3 盗版 程序 带 来 的 安全 问题 


大 量 的 免费 下 载 网 站 为 用 户 下 载 各 类 应 用 软件 提供 了 便利 。 但 是 ,部 分 网 站 对 上 传 的 
应 用 软件 审核 不 严 ,使 许多 带 有 恶意 代码 的 软件 被 上 传 并 通过 网 站 传播 ,为 用 户 安全 带 来 了 
极 大 威胁 。 

1. 逆向 工程 

逆向 工程 也 称 为 “ 反 向 工程 ”, 在 信息 技术 领域 是 指 对 一 个 信息 系统 或 软件 进行 逆向 分 
析 及 研究 ,从 而 得 到 系统 或 软件 的 架构 和 开发 源 代码 等 要 素 , 进 而 对 其 进一步 分 析 或 优化 
处 理 。 
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攻击 者 也 可 以 利用 逆向 工程 原理 和 思路 ,采用 北向 分 析 工 具 对 一 些 自 认 为 有 利用 价值 
的 软件 进行 反 编 译 ,并 在 反 编译 后 的 程序 中 加 入 恶意 代码 ,经 再 次 编译 (二 次 打包 ) 后 上 传 到 
一 些 审 核 不 严 的 免费 网 站 (如 手机 应 用 商店 、 手 机 软件 商店 等 ), 供 用 户 下 载 ,以 达到 入 侵 和 
窃取 用 户 信息 的 目的 。 

对 于 大 量 使 用 的 基于 Android 开源 系统 的 应 用 软件 ,目前 出 现 了 许多 汇编 和 反 汇 编 工 
具 , 如 Smali 和 Baksmali。 首 先 ,使 用 Baksmali 工具 对 有 利用 价值 的 客户 端 软件 以 及 木马 
程序 进行 反 汇 编 , 然 后 对 反 汇 编 结果 进行 整合 (整合 过 程 中 还 会 尽 可 能 地 隐藏 木马 程序 的 代 
码 ) ,之 后 再 利用 Smali 工具 进行 汇编 编译 ,生成 最 后 的 二 次 打包 可 执行 文件 (DEX 文件 ) 。 

2. 二 次 打包 


利用 Android 操作 系统 的 漏洞 ,通过 在 反 汇 编 后 的 程序 中 隐藏 木马 代码 ,以 达到 算 改 原 
始 客户 端 软件 的 执行 流程 、 截 获 用 户 的 账号 信息 和 隐私 信息 等 目的 。 经 过 二 次 打包 后 的 应 
用 软件 ,其 界面 和 操作 与 原 软件 几乎 没有 区 别 ,对 于 隐藏 的 威胁 普通 用 户 几 乎 无 法 感知 。 

经 国内 一 些 专业 安全 公司 分 析 , 目 前 几乎 所 有 的 银行 客户 端 软件 均 未 能 完全 有 效 防 范 
逆向 分 析 和 二 次 打包 ,不 具有 防止 逆向 分 析 和 二 次 打包 的 可 靠 能 力 , 大 量 与 用 户 贴身 利益 相 
关 的 移动 客户 端 软件 都 存在 盗版 现象 ,而 且 某 些 软件 还 存在 多 个 甚至 是 几 十 个 不 同 的 盗版 
版 本 。 用 业内 很 有 概括 性 的 一 句 话 描述 为 : 正版 下 载 量 越 大 ,盗版 版 本 数 也 就 越 多 。 

例如 ,已 发 现 的 针对 Android 操作 系统 的 “XX 神器 ”, 就 是 攻击 者 将 病毒 二 次 打包 后 再 
上 传 到 一 些 热门 手机 应 用 商店 中 供用 户 下 载 ,利用 手机 论坛 , 非 安 全 电子 市 场 进行 传播 。 该 
病毒 可 通过 读 取 用 户 手 机 联系 人 ,并 调用 发 短信 权限 ,将 内 容 为 “(手机 联系 人 姓名 ) 看 这 个 
十 *xx% /XXshenqi. apk” 发 送 到 手机 通讯 录 的 联系 人 手机 中 。 当 该 手机 通讯 录 中 的 用 户 接 
收 该 短信 ,不 小 心 点 击 了 链接 并 选择 了 “安装 ”后 ,在 用 户 完全 不 知情 的 情况 下 ,该 病毒 开始 
再 向 用 户 手机 通讯 录 中 的 联系 人 群发 同样 的 短信 ,从 而 导致 被 该 病毒 感染 的 手机 用 户 数 呈 
几何 级 增长 ,而 且 该 病毒 可 能 导致 手机 用 户 的 手机 联系 人 、 身 份 证 ,姓名 等 隐私 信息 泄露 ,在 
手机 用 户 中 形成 严重 恐慌 。 

3. 防范 方法 

防范 二 次 打包 的 有 效 方法 主要 有 对 APP 进行 签名 验证 ,以 及 对 APP 进行 加 固 处 理 等 
方式 。 

1) 签名 验证 

在 应 用 程序 发 布 时 ,每 一 款 应 用 程序 都 会 有 一 个 专门 针对 该 款 软件 的 数字 签名 ,用 此 验 
证 软件 的 具体 身份 信息 ,不同 厂商 的 软件 其 数字 签名 不 同 。 由 于 数字 签名 是 无 法 伪造 的 , 因 
此 利用 该 特征 就 可 以 知道 一 款 应 用 程序 是 否 为 正版 软件 。 对 于 加 入 了 数字 签名 验证 代码 的 
软件 ,如 果 盗 版 者 对 其 进行 二 次 打包 时 没有 去 掉 验 证 代码 , 则 打包 生成 的 盗版 APP 在 运行 
过 程 中 就 会 自动 报警 ,被 安全 软件 识别 。 但 是 ,“ 道 高 一 尺 , 魔 高 一 丈 ” 的 道理 在 软件 盗版 领 
域 显得 尤为 突出 ,如 果 盗 版 者 具有 较 强 的 逆向 分 析 水 平 ,能 够 找到 原 APP 的 数字 签名 代码 
并 移 除 或 屏蔽 ,就 可 以 避免 报警 。 为 此 ,要 较 好 地 解决 此 问题 ,单纯 从 软件 技术 上 是 无 法 实 
现 的 ,目前 最 有 效 的 办 法 仍然 是 采用 验证 技术 ,将 安全 性 寄托 在 数字 签名 的 证 书 管理 上 , 通 
常 可 通过 信誉 度 高 的 可 信 第 三 方 (如 知名 APP 安全 软件 商 ) 负 责 对 APP 进行 数字 签名 
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2) 加 固 处 理 

应 用 加 固 是 近年 来 兴起 的 一 种 反 盗 版 、 防 自 改 技术 ,其 基本 方法 是 先 将 正版 应 用 程序 进 
行 反 汇编 ,之 后 对 程序 的 汇编 代码 进行 加 密 和 混淆 人 处理, 然后 再 进行 重新 编译 打包 生成 应 用 
程序 ,同时 由 正版 作者 对 经 过 加 固 处 理 的 应 用 程序 进行 重新 签名 。 经 过 加 固 处 理 的 应 用 程 
序 , 虽 然 理 论 上 仍然 可 以 进行 反 汇编 ,但 由 于 程序 事先 经 过 了 加 密 处 理 , 因 此 反 汇 编 之 后 的 
代码 的 可 读 性 将 大 大 降低 ,相应 地 ,盗版 者 对 程序 进行 逆向 分 析 的 难度 也 大 大 增加 ,使 得 咨 
版 者 通常 难以 在 原 有 代码 中 植 人 恶意 代码 ,从 而 可 以 有 效 地 阻止 应 用 程序 被 二 次 打包 和 自 
改 。 例 如 ,国内 安全 厂商 360 从 2014 年 4 月 开始 推出 的 “360 加 固 保 ”( 如 图 7-6 所 示 ， 
http://dev. 360. cn/protect/welcome/) 可 以 为 手机 APP 开发 者 提供 免费 的 加 固 服务 ,以 防 
止 产品 被 破解 和 算 改 。 


English 


360 加 固 保 


零 增 量 加 固 重 磅 出 世 


筷 开始 使 用 下 [= 





图 7-6 “360 加 固 保 "页面 


需要 说 明 的 是 ,自身 带 有 数字 签名 验证 能 力 的 客户 端 软件 通常 不 适合 进行 加 固 处 理 。 
这 是 因为 加 固 处 理 本 身 就 是 一 种 对 源码 的 重新 组 合 ,如 果 在 加 固 之 前 没有 移 除 源 程序 中 的 
数字 签名 验证 代码 ,那么 数字 签名 验证 代码 就 会 将 经 过 加 固 处 理 的 应 用 程序 视 为 盗版 应 用 
程序 ,并 因此 引起 程序 内 部 冲突 。 为 此 ,在 对 移动 终端 上 的 APP 进行 加 固 处 理 之 前 ,必须 提 
前 移 除 或 屏蔽 掉 数 字 签 名 代码 。 


7.2.4 认证 安全 

认证 即 验证 用 户 身份 信息 的 合法 性 ,例如 , 当 用 户 登录 自己 的 邮件 系统 或 QQ 账号 时 都 
要 输入 验证 密码 ,这 是 对 账户 的 真实 性 进行 验证 。 许 多 安全 场所 都 要 求 用 户 出 示 自 己 的 身 
份 证 ,对 用 户 身份 的 真实 性 进行 验证 。 为 此 ,认证 系统 或 认证 方式 决定 着 认证 的 安全 性 和 认 

1. 双 因 子 认证 

认证 过 程 是 用 户 ( 要 求 验 证 者 ) 向 认证 服务 器 (验证 者 ) 输 入 自己 的 身份 信息 并 验证 其 真 
实 性 的 过 程 ,是 确保 访问 者 合法 性 的 重要 环节 。 用 户 与 认证 服务 器 之 间 的 认证 可 以 基于 如 
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下 一 个 或 几 个 因素 。 

(1) 用 户 所 知道 的 东西 ,如 口令 、 密 码 等 。 

(2) 用 户 拥有 的 东西 ,如 印章 、 智 能 卡 ( 如 信用 卡 )。 

(3) 用 户 所 具有 的 生物 特征 ,如 指纹 声音 ,视网膜 签字、 笔迹 等 。 

如 果 认 证 过 程 中 使 用 了 以 上 其 中 一 种 因素 (因子 ) , 称 为 单 因子 认证 ,如 果 同 时 采用 了 两 
种 或 两 种 以 上 的 因素 , 则 称 为 双 因 子 认证 或 多 因子 认证 。 一 次 认证 过 程 中 ,认证 的 安全 性 通 
常 与 参与 认证 的 因素 之 间 成 正比 关系 。 

基于 传统 单 因子 认证 存在 的 安全 风险 ,目前 很 多 网 络 账号 管理 系统 通常 采用 双 因 子 认 
证 甚至 是 多 因子 认证 方式 。 在 网 络 账户 管理 系统 中 ,通常 双 因 子 认证 中 的 一 个 认证 信息 是 
由 用 户 自 己 掌握 的 ,一 般 为 账号 对 应 的 密码 。 而 另 一 个 认证 信息 是 由 双 因 子 认 证 系统 (认证 
服务 器 ) 提 供 的 ,如 验证 邮件 .手机 验证 码 \ 动 态 电子 令 牌 或 U 盾 等 。 为 此 , 双 因子 认证 的 安 
全 性 也 取决 于 两 个 认证 信息 之 间 的 相互 独立 性 。 越 是 相互 之 间 独 立 的 信息 , 越 不 容易 被 攻 
击 者 在 限制 的 时 间 内 同时 截获 。 这 里 的 独立 性 包括 认证 信息 内 容 的 相互 独立 ,也 包括 认证 
信息 传输 途径 或 传输 介质 之 间 的 相互 独立 。 例 如 , 当 用 户 在 计算 机 上 进行 网 上 银行 支付 时 ， 
虽然 用 户 账户 密码 由 用 户 直 接 输入 ,但 验证 信息 却 发 送 到 该 账户 注册 者 的 手机 上 ,这 就 增加 
了 攻击 者 获取 验证 码 的 难度 。 

但 是 ,手机 等 移动 互联 网 终端 受 自身 众多 因素 的 限制 ,如 果 要 实现 与 传统 个 人 计算 机 上 
相似 的 双 因 子 认证 还 存在 一 定 的 困难 。 例 如 , 当 用 户 利用 手机 进行 网 上 银行 在 线 支 付 时 ,一 
方面 是 通过 手机 来 登录 网 上 银行 系统 ,并 发 送 支付 请 求 ; 另 一 方面 又 是 通过 手机 来 接收 银 
行 发 回 的 短信 和 验证 码 和 确认 信息 。 这 在 很 大 程度 上 限制 了 短信 验证 信息 的 独立 性 。 将 这 种 
虽然 使 用 了 双 因 子 认证 方式 ,但 却 无 法 较 好 隔离 不 同 认证 信息 的 认证 称 为 “ 伪 双 因子 认证 ”。 

目前 ,大 部 分 银行 客户 端 软 件 采用 的 是 “账号 密码 十 短信 验证 码 ” 的 伪 双 因子 认证 体系 。 
这 种 认证 体系 在 面 对 具 有 短信 劫持 功能 的 手机 木马 攻击 时 显得 极为 脆弱 。 

2. 验证 短信 的 安全 分 析 

对 于 使 用 伪 双 因子 认证 的 移动 互联 网 客户 端 软件 来 说 ,能 否 保证 验证 信息 不 被 动 持 和 
窃听 ,成 为 手机 等 移动 终端 认证 安全 性 的 决定 因素 。 目 前 ,包括 网 上 银行 在 内 的 许多 重要 移 
动 终 端 客户 端 软件 还 没有 提供 针对 短信 支持 的 防范 功能 。 如 果 终 端 被 植 入 了 短信 支持 木 
马 ,那么 银行 等 短信 网关 发 送 给 用 户 的 短信 验证 码 、 交 易 通 知 等 各 种 重要 信息 就 有 可 能 被 木 
马 截获 并 自动 转发 给 攻击 者 。 

以 银行 网 上 支付 系统 为 例 ,银行 系统 向 用 户 手 机 发 送 验证 短信 以 验证 登录 者 身份 的 合 
法 性 ,是 基于 “验证 码 只 有 手机 拥有 者 本 人 可 见 ” 这 一 条 件 , 如 果 手 机 被 植 和 人 了 木马 ,那么 这 
一 假设 就 不 再 成 立 。 然 而 ,在 多 数 情 况 下 ,短信 劫持 木马 为 了 避免 被 发 现 ,往往 会 在 本 地 手 
机 上 采取 短信 拦截 手段 , 即 在 转发 银行 短信 给 窃听 者 的 同时 ,不 会 在 手机 上 显示 银行 发 来 的 
短信 。 这 样 ,攻击 者 就 可 以 在 用 户 毫 无 察觉 的 情况 下 ,利用 窃取 的 用 户 账户 信息 盗 刷 用 户 的 
手机 银行 账户 。 

目前 ,主流 的 短信 劫持 木马 通常 会 劫持 并 自动 转发 手机 验证 码 短信 、 密 码 找 回 验证 短 
信 、 消 费 通知 短信 等 多 种 短信 信息 ,而 且 这 些 木马 在 转发 信息 的 同时 ,还 会 在 本 地 手机 上 销 
毁 短信 原文 ,以 避免 自身 被 暴露 或 被 发 现 。 
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3. 防范 方法 
目前 ,解决 像 网 上 银行 等 重要 应 用 中 的 伪 双 因子 认证 中 存在 的 安全 问题 ,主要 采取 以 下 
3 种 防范 方法 。 
1) 新 技术 的 应 用 
通过 对 新 技术 的 应 用 ,将 伪 双 因子 认证 改造 成 真正 意义 上 的 双 因子 认证 。 目 前 ,市 场 上 
已 经 出 现 了 一 些 专门 针对 手机 银行 等 重要 应 用 的 双 因 
本 子 认证 解决 方案 ,如 音频 盾 、 蓝 牙 盾 .电子 密码 器 等 。 
Cy 】 以 工商 银行 提供 的 音频 盾 为 例 , 它 可 以 通过 与 手机 上 
/ey 的 音频 口 (耳机 接口 ) 相 连 ( 图 7-7) ,用 于 手机 银行 的 数 
字 签 名 和 数字 认证 ,对 交易 过 程 中 的 保密 性 真实 性 、 
| 完整 性 和 不 可 否认 性 提供 安全 保障 。 蓝 牙 盾 的 工作 原 
理 类 似 于 音频 盾 , 只 不 过 是 通过 手机 上 的 蓝牙 接口 进 
行 连接 。 而 电子 密码 器 则 与 传统 的 动态 电子 令 牌 相 
图 7.7 音频 盾 的 外 形 似 , 它 与 手机 银行 客户 端 配 合 使 用 。 
不 过 ,联想 到 近年 来 移动 互联 网 的 快速 发 展 过 程 ， 
应 用 的 便捷 性 和 易 用 性 是 决定 用 户 接受 程度 的 关键 因素 ,如 果 单 纯 为 了 安全 ,在 手机 上 额外 
增加 这 些 大 小 和 能 耗 接 近 于 手机 本 身 的 部 件 , 很 不 适合 在 移动 环境 中 的 应 用 。 所 以 ,对 于 新 
技术 的 研究 还 有 很 大 的 发 展 空间 。 
2) 权限 管理 
如 果 能 够 采取 技术 措施 ,使 客户 端 软件 能 够 早 于 木马 程序 获得 短信 信息 并 将 短信 内 容 
直接 通知 和 展示 给 用 户 , 就 可 以 避免 木马 支持 信息 事件 的 发 生 。 目 前 ,最 常 采 用 的 是 类 似 于 
Windows 操作 系统 “兼容 模式 ”的 APP Hook 技术 。 通 过 APP Hook 技术 ,可 以 提升 客户 端 
接收 短信 软件 (短信 接收 APP) 的 权限 .以 保证 短信 在 以 广播 形式 分 发 给 木马 程序 之 前 被 拦 
截 , 终 止 短信 的 分 发 。 不 过 ,从 目前 的 应 用 来 看 ,这 种 方式 也 存在 以 下 一 些 局 限 性 。 
(1) 该 方案 要 求 手机 客户 端 程序 必须 获得 手机 的 root 权限 ,这 已 大 大 超出 了 一 般 手机 
软件 的 能 力 。 
(2) 使 用 该 技术 方案 后 ,有 可 能 导致 手机 客户 端 与 其 他 应 用 之 间 产 生 权限 冲突 。 
(3) 木马 程序 也 可 以 采用 同样 的 手段 来 争夺 手机 短信 的 优先 阅读 权限 。 
针对 以 上 问题 ,从 Android 4. 4 版 本 开始 就 将 短信 接收 (CSMS_received) 广播 方式 改 为 
无 序 广播 ,同时 对 应 用 程序 删除 短信 的 权限 进行 了 更 严格 的 限制 。 这 种 安全 机 制 的 改进 大 
大 降低 了 木马 程序 优先 获取 信息 阅读 权限 的 能 力 ,同时 使 木马 程序 失去 了 销毁 短信 的 能 力 。 
但 是 ,即使 木马 程序 无 法 优先 读 取 和 销毁 短信 ,但 木马 程序 仍然 有 能 力 监听 短信 内 容 , 所 以 
针对 Android 等 任何 一 款 操 作 系统 .其 安全 仍然 是 一 个 长 期 研究 和 逐步 解决 的 问题 。 
3) 短信 加 密 认 证 
在 无 法 确保 验证 短信 不 会 被 恶意 程序 窃取 的 情况 下 ,对 短信 内 容 进行 加 密 这 一 看 似 传 
统 的 方法 , 却 成 为 一 种 有 效 的 解决 方案 。 短 信 加 密 认证 ,就 是 由 认证 服务 器 厂商 对 发 送 到 用 
户 手机 的 短信 进行 加 密 , 用 户 手机 在 接收 到 短信 后 ,再 通过 手机 客户 端 中 的 安全 模块 对 接收 
到 的 加 密 短信 进行 解密 操作 ,最 后 得 到 短信 明文 的 过 程 。 在 这 种 安全 机 制 中 ,由 于 手机 收 到 
的 验证 短信 为 密 文 ,即使 被 木马 程序 截取 也 无 法 直接 获取 有 效 信息 。 更 客观 地 讲 , 即 便 是 亚 
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意 程 序 对 加 密 验 证 码 进行 了 暴力 破解 ,此 过 程 所 需要 的 时 间 通 常 也 远 远 超过 了 该 验证 短信 
的 实际 有 效 期 ,这 样 可 以 从 根本 上 解决 Android 系统 短信 和 验证 码 被 泄露 的 问题 。 


7.2.5 安全 事件 分 析 


本 节 前 面 的 内 容 主要 以 Android 操作 系统 为 例 ,介绍 了 移动 终端 系统 本 身 的 安全 问题 。 
这 并 不 意味 着 只 有 Android 系统 才 存 在 安全 问题 ,使 用 其 他 类 型 操作 系统 的 移动 设备 就 不 
存在 此 类 问题 。 其 实 不 然 ,从 目前 的 统计 数据 来 看 ,几乎 所 有 的 智能 移动 终端 操作 系统 都 存 
在 不 同 程 度 的 安全 问题 和 风险 。 

1. 苹果 iPhone 擅自 采集 个 人 隐私 事件 

中 央 电 视 台 在 2014 年 7 月 11 日 的 (新 闻 直 播 间 ) 节 目 中 曝光 了 苹果 iPhone 未 经 用 户 
许可 擅自 采集 个 人 隐私 的 事件 。 央 视 调查 揭秘 指出 ,在 苹果 iOS7. 0 版 本 中 ,用 户 只 要 在 苹 
果 手 机 上 使 用 软件 .连接 Wi-Fi, 用 户 使 用 软件 的 时 间 、 地 点 等 日 常 行 迹 信息 就 会 被 完全 记 
录 下 来 。 对 于 此 质疑 ,苹果 公司 也 首次 公开 承认 了 收集 用 户 信 息 的 事实 ,这 一 行为 引发 了 国 
内 用 户 的 强烈 不 满 ,也 为 广大 消费 者 敲 响 了 警钟 。 根 据 央视 对 苹果 安全 事件 的 调查 显示 , 苹 
果 手 机 在 我 国 拥有 上 亿 台 ,而 大 部 分 iPhone 用 户 对 其 擅自 采集 个 人 信息 一 事 并 不 知情 。 

2. 手机 预 装 恶 意 软件 

在 2014 年 央视 “3。15” 晚 会 上 ,手机 预 装 恶意 程序 被 曝光 。 央 视 的 调查 显示 ,名 为 易 开 
联合 的 公司 可 以 经 过 手机 植 人 平台 ,为 合作 商户 的 手机 量 身 订 做 软件 包 , 可 以 做 到 让 用 户 想 
删 都 无 法 删 掉 。 有 些 预 装 软件 还 能 够 监测 用 户 的 使 用 情况 ,仅仅 这 一 项 预 装 业务 每 年 为 公 
司 能 带 来 不 非 的 收入 。 另 一 家 大 唐 高 鸿 技术 有 限 公司 ,是 大 唐 旗下 的 公司 ,大 唐 神 器 号 称 全 
自动 智能 安装 软件 ,这 款 产品 就 是 与 手机 商 合作 的 。 在 事件 曝光 时 ,他 们 有 1404 家 加 盟 代 
理 商 ,安装 软件 超过 4600 万 个 。 图 7-8 所 示 的 便 是 在 手机 上 预 装 的 一 些 软 件 ,其 中 一 些 便 
是 恶意 软件 。 





图 7-8 手机 上 预 装 的 一 些 软 件 


现实 世界 中 还 有 一 种 更 为 “暗黑 ”的 应 用 推广 方式 “静默 渠道 ”, 这 种 应 用 推广 渠道 已 有 
非法 之 嫌 。 具 体 方式 为 与 手机 厂家 深度 合作 ,将 留 有 “后 门 ”的 软件 内 置 在 出 厂 手机 中 ,通过 
“后 门 ”远程 控制 这 些 应 用 ,在 后 台 偷 偷 下 载 安装 其 他 程序 。 不 需要 用 户 确认 就 能 直接 安装 ， 
而 且 安 全 软件 也 无 法 查 出 来 。 

3. Android“ 诈 尸 ”漏洞 

2014 年 3 月 26 日 , 安 卓 手机 系统 被 曝 存 在 一 个 新 的 高 危 安全 漏洞 “ Android 诈 尸 漏 
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洞 ”, 利 用 该 漏洞 黑客 可 通过 简单 的 攻击 代码 使 被 入 侵 手 机 崩溃 后 不 断 进行 重新 启动 操作 ， 
只 有 通过 恢复 出 厂 设置 才能 修复 ,但 手机 中 所 有 数据 将 因此 彻底 丢失 。 

当 安 卓 应 用 (APP) 的 名 称 长 度 大 于 387 000 个 字符 时 ,一 旦 运行 就 会 造成 手机 关键 系 
统 进程 崩溃 ,导致 关机 无 法 正常 使 用 ,如 果 该 应 用 为 开机 自 启 动 ,这 将 导致 手机 开机 后 再 次 
崩溃 ,最终 导致 手机 进入 循环 死机 的 状态 。 安 卓 系统 2.3、4. 2. 2 和 4.3 等 主流 版 本 都 发 现 
存在 该 漏洞 。 


7.3 移动 应 用 的 攻防 


本 节 以 手机 应 用 为 主 ,介绍 移动 应 用 面临 的 主要 安全 问题 和 安全 威胁 ,以 及 对 应 的 安全 
措施 和 安全 防御 方法 。 


7.3.1 恶意 程序 


与 个 人 计算 机 中 对 恶意 程序 的 定义 类 似 ,移动 终端 中 的 恶意 程序 也 通常 是 指 带 有 攻击 
意图 的 一 段 程序 ,主要 包括 陷 门 .逻辑 炸弹 、 特 洛 伊 木马 、 蠕 虫 、 病 毒 等 。 随 着 移动 互联 网 的 
发 展 , 针 对 新 出 现 的 恶意 攻击 现象 ,对 手机 等 移动 终端 上 的 恶意 程序 类 型 进行 了 细 分 。 

1. 恶意 程序 影响 

最 近 , 根 据 * 中 国 反 网 络 病毒 联盟 ”分 类 标准 ,目前 可 将 移动 终端 恶意 程序 分 为 资源 消 
耗 \ 隐 私 窃 取 、 恶 意 扣 费 、 诈 骗 欺 诈 \ 流 谍 行 为 .系统 破 坏 、 远 程控 制 和 恶意 传播 几 种 类 型 。 其 
中 ,感染 量 最 大 的 为 资源 消耗 类 恶意 程序 ,其 主要 恶意 行为 是 通过 自动 联网 上传 和 下 载 数 
据 、 安 装 其 他 应 用 ,消耗 用 户 手 机 流量 和 资费 。 

2. 恶意 程序 事件 分 析 

1)“ 窗 听 大 资 ?木马 

“窃听 大 资 ”" 木 马 通 过 论坛 链接 ,扫描 二 维 码 等 方式 骗取 用 户 安装 。 安 装 之 后 手机 会 自 
动 重启 ,重启 后 手机 桌面 并 没有 任何 新 增 图 标 。“ 窃 听 大 盗 ” 木 马 会 偷 录 用 户 的 通话 语音 ,】 
用 摄像 头 偷拍 手机 周围 环境 ,窃取 通讯 录 、 通 话 记录 短信 文本 等 全 部 隐私 信息 ,并 能 定位 用 
户 的 地 理 位 置 ,随后 将 这 些 信息 发 送 到 木马 作者 的 邮箱 。 同 时 ,由 于 安装 前 激活 了 设备 管理 
器 ,导致 用 户 根 本 无 法 正常 外 载 该 木马 。 近 期 截获 的 “窃听 大 盗 ? 木 马 二 代 则 伪装 成 多 达 几 
百 款 软件 欺骗 手机 用 户 下 载 ,拨号 器 、Wi-Fi 万 能 钥匙 、 百 度 、91 助手 淘宝 等 几 百 款 软件 均 
被 其 “冒名 顶替 ”"。 这 些 恶 意 程 序 通 过 开机 自 启动 .定时 器 触发 .短信 和 触发 3 种 方式 执行 窃听 
行为 。 更 为 隐蔽 的 是 ,一 旦 被 触发 ,恶意 程序 会 进入 系统 预 装 列表 ,手机 用 户 无 法 正常 印 载 。 

2) Android“ 长 老 ” 木 马 

2014 年 3 月 6 日 ,有 一 种 潜伏 在 手机 预 装 ROM 中 长 达 三 年 的 “长 老 级 "手机 木马 首次 
被 发 现 , 从 2011 年 以 来 已 衍生 出 十 几 个 变种 ,最 新 变种 不 但 会 窃取 用 户 手 机 号 、IMEI 
(International Mobile Equipment Identity, 移 动 设备 国际 辨识 码 ,是 由 15 位 数字 组 成 的 “ 电 
子 串 号 ”, 它 与 每 台 手 机 一 一 对 应 ,而 且 该 码 是 全 世界 唯一 的 ) 及 地 理 位 置 等 隐私 信息 ,同时 
还 强制 手机 小 组 件 来 推广 广告 .还 可 以 算 改 手机 浏览 器 主页 偷偷 安装 其 他 未 知 手 机 应 用 。 
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该 长老? 木马 甚至 还 可 根据 窃取 的 手机 号 码 单独 控制 某 一 款 手机 ,替换 Android 系统 正常 
进程 Debuggerd 来 实现 自 启动 ,用 户 不 会 在 启动 程序 中 看 到 它 , 行 为 非常 隐蔽 。 木 马 运行 
后 会 立即 释放 多 个 apk/jar/elf 等 木马 “小 弟 ” 恶 意 程序 来 实施 破坏 。“ 长 老 ” 木 马 有 着 极 强 
的 远程 控制 手段 。 不 但 支持 网 络 和 短信 两 种 远 控 模式 ,并 且 带 有 十 几 个 可 配置 参数 ,甚至 可 
对 某 台 手 机 单独 控制 ,将 手机 彻底 沦 为 "肉鸡 ”。 为 了 更 好 地 控制 这 些 配 置 参数 ,木马 还 会 启 
动 一 项 服务 专门 用 来 监控 系统 时 间 ,如 果 重 启 手机 后 Wi-Fi 开启 ,将 立即 更 新 配置 文件 ,如 
果 没 有 Wi-Fi 或 者 超过 一 天 没有 重启 ,会 在 22 点 到 零 时 的 整 点 ,尝试 通过 上 网 流量 的 方式 
进行 更 新 。 更 新 的 同时 ,还 会 将 隐私 信息 上 传 至 指定 的 服务 器 。 

3)“ 夺 命 锁 ”木马 

2014 年 6 月 出 现 的 “ 夺 命 锁 ” 木 马 可 以 伪装 成 “天 天 酷 跑 专用 修改 ( 超 哥 破解 )”“ 妖 艳 制 
作 ” 等 600 余 款 手机 应 用 ,诱骗 安 卓 手机 用 户 进行 下 载 , 当 手 机 用 户 不 小 心 下 载 安装 后 手机 
会 被 强制 锁 死 ,24 小 时 无 法 正常 使 用 ,采用 重启 手机 的 方式 仍然 无 法 解决 。 

3. 安全 防范 方法 

对 于 以 上 恶意 程序 存在 的 风险 ,建议 从 以 下 几 个 方面 加 强 安全 管理 。 

(1) 不 随意 点 击 不 明 链接 。 由 于 绝 大 多 数 木马 程序 是 通过 QQ 或 微 信 等 方式 来 发 送 链 
接 ,在 收 到 不 明 链接 或 网 上 购物 时 ,一定 要 验证 发 送 者 信息 的 真实 性 。 

(2) 平时 养 成 关闭 Wi-Fi 或 蓝牙 功能 的 习惯 ,一 方面 防止 黑客 在 公共 场所 通过 Wi-Fi 
或 蓝牙 对 手机 进行 攻击 并 窃取 信息 , 另 一 方面 可 有 效 节约 电能 ,并 可 以 预防 通过 Wi-Fi 实施 
定位 。 

(3) 及 时 备份 手机 等 移动 终端 中 的 数据 ,尤其 是 一 些 敏感 数据 ,以 防止 手机 因 攻 击 导致 
无 法 正常 工作 ,需要 初始 化 时 不 至 于 丢失 数据 。 

(4) 从 运营 商 .专业 供应 商 或 信誉 度 高 的 手机 软件 商店 处 更 新 软件 固件 ,避免 到 一 些 不 
明 身 份 的 第 三 方 站 点 下 载 和 安装 固件 。 

(5) 为 手机 设置 流量 提醒 功能 ,避免 手机 不 幸 感 染病 毒 或 恶意 软件 后 台 偷偷 联网 造成 
资费 消耗 。 

(6) 不 要 随意 用 手机 扫 二 维 码 ,二 维 码 已 经 成 为 恶意 程序 新 的 传播 途径 。 

(7) 从 有 安全 信誉 的 来 源 下 载 应 用 程序 。 


7.3.2 骚扰 和 诈骗 电话 


到 目前 为 止 ,中 国 已 经 实现 了 每 人 至 少 拥有 一 部 手机 。 相 应 地 ,借助 手机 进行 欺诈 或 扣 
费 的 多 种 骚扰 和 诈骗 电话 开始 泛滥 , 轻 则 为 人 们 的 生活 造成 影响 , 重 则 导致 用 户 经 济 损失 或 
名 誉 受 损 。 

1. 骚扰 电话 

骚扰 电话 以 短 时 间 振 铃 为 特征 ,用 户 通常 情况 下 无 法 正常 接听 ,其 呼叫 违背 手机 用 户 的 
意志 并 且 对 用 户 的 通信 自由 、 生 活 安宁 造成 侵害 或 者 蒙蔽 用 户 的 呼叫 。 绝 大 多 数 响 一 声 电 
话 都 是 声讯 台 等 吸 费 电话 ,有 些 声讯 台 还 设 在 国外 ,一 旦 拨打 回去 ,手机 资费 就 会 快速 地 被 
消耗 玛 尽 ; 而 广告 推销 类 骚扰 电话 则 是 人 们 感受 最 深 的 驭 扰 电 话 , 类 似 推销 保险 、 推 销 贷 
款 、 推 销 商铺 等 业务 之 类 的 电话 频频 骚扰 用 户 的 日 党 生活。 骚扰 电 话 一 般 具有 以 下 特征 。 
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(1) 大 批量 呼叫 。 大 批量 呼叫 是 指针 对 批量 手机 目标 号 码 发 起 呼叫 或 对 单一 目标 号 码 
的 反复 呼叫 。 针 对 单一 用 户 的 大 批量 呼叫 违背 了 手机 用 户 的 主观 意愿 并 且 对 用 户 造成 了 
骚扰 。 

(2) 反 向 验证 不 正常 。 通 过 对 主 叫 号 码 进行 反 向 呼叫 测试 ,如 果 播 放 欺 骗 信 息 或 诱骗 
用 户 拨打 声讯 台 等 ,都 将 视 为 骚扰 电话 号 码 。 

(3) 违背 用 户主 观 意愿 。 这 是 骚扰 电话 的 主要 特点 之 一 。 骚 扰 电话 号 码 对 被 叫 用 户 而 
言 都 是 陌生 号 码 ,或 者 是 根本 不 存在 的 虚拟 号 码 ,通过 该 号 码 强 制 对 用 户 进行 呼叫 。 这 些 呼 
叫 行为 都 是 违背 用 户主 观 意愿 的 ,对 被 叫 用 户 而 言 是 无 效 的 呼叫 。 

(4) 对 用 户 造成 骚扰 。 这 是 骚扰 电话 的 另 一 重要 特点 。 骚 扰 电 话 均 以 短 时 间接 通 为 特 
征 ( 如 响 一声 ) ,在 用 户 正常 接 通 前 就 已 经 挂 断 , 以 期 用 户 进行 反 向 拨打 ,从 而 达到 其 不 法 目 
的 ,这 对 用 户 的 正常 通信 造成 了 骚扰 。 

2. 诈骗 电话 

诈骗 电话 (也 称 电信 诈骗 ) 是 指 借助 手机 、 固 定 电话 、 网 络 等 通信 工具 和 现代 网 络 技术 实 
施 的 非 接触 式 诈骗 活动 。 开 始 时 诈骗 者 通常 会 抓 住 一 些 人 贪图 小 利 、 避 险 消 灾 等 心理 ,不 断 
变换 手段 实施 诈骗 ,使 受害 人 承受 财产 损失 和 精神 骚扰 的 双重 伤害 ,给 人 们 造成 了 巨大 的 财 
产 损失 ,社会 危害 不 断 加 剧 。 诈 骗 电 话 一 般 具 有 以 下 特征 。 

(1) 诈骗 手段 多 样 。 目 前 ,主要 的 诈骗 手段 可 分 为 以 下 几 种 类 型 。 

@ 假冒 国家 机 关 工 作 人 员 进 行 诈骗 。 

@ 冒充 电信 等 有 关 职 能 部 门 的 工作 人 员 , 以 电信 欠 费 、 送 话费 、 送 奖品 为 由 进行 诈骗 。 

@ 冒充 被 害 人 的 亲属 .朋友 ,编造 生 急 病 、 发 生 车 祸 等 意外 急需 用 钱 ,或 称 被 害 人 家 人 
被 绑架 索要 赎金 等 事由 ,骗取 被 害 人 财物 。 

@ 冒充 银行 工作 人 员 ,以 假 称 被 害 人 银联 卡 在 某 地 刷卡 消费 为 名 ,诱骗 被 害 人 转账 实 

(2) 有 组 织 的 集团 作案 。 该 类 事件 组 织 化 程度 高 ,犯罪 分 子 以 诈骗 为 常 业 ,有 固定 的 诈 
骗 窝点 ,作案 时 分 工 明确 、 组 织 严密 , 且 大 都 使 用 假名 ,呈现 明显 的 集团 化 、. 职 业 化 特点 。 

(3) 迷惑 性 强 。 不 法 分 子 首先 通过 有 关 手 段 得 到 用 户 的 电话 (固定 电话 或 手机 号 码 )， 
再 利用 改 号 软件 使 被 害 人 的 电话 来 电 显示 出 拨打 过 来 的 电话 是 110 、12315 或 电信 10000 
等 常见 的 业务 电话 ,或 是 被 害 人 熟悉 的 亲友 的 电话 ,使 被 害 人 相信 对 方 确实 是 公安 .工商 或 
电信 公司 的 工作 人 员 ,或 是 自己 的 亲友 ,从 而 放松 警惕 。 

(4) 实施 手段 隐蔽 。 不 法 分 子 往往 只 通过 电话 或 短信 的 方式 与 被 害 人 进行 联系 ,从 不 
直接 和 被 害 人 见面 ,电信 诈骗 的 组 织 者 几乎 从 来 不 抛 头 露面 。 

(5) 社会 危害 大 。 该 类 事件 的 诈骗 范围 广 , 诈 骗 数 额 大 , 动 辑 就 是 几 十 万 上 百 万 元 ,使 
受害 人 蒙受 巨大 财产 损失 ,严重 扰乱 社会 经 济 秩序 。 相 对 于 普通 诈骗 中 “一 对 一 ”或 者 “一 对 
多 ”的 诈骗 .电信 诈骗 表现 出 来 的 是 面 对 整个 电话 用 户 或 者 特定 群体 的 诈骗 ,其 诈骗 行为 的 
实施 并 不 是 特意 针对 特定 对 象 ,而 是 广泛 散布 诈骗 信息 ,等待 受害 者 上 钧 。 这 种 方式 带 来 的 
后 果 往 往 是 大 批 的 电话 用 户 上 当 受 骗 ,涉案 数额 往往 很 大 ,对 社会 的 危害 极其 严重 。 

3. 安全 防范 方法 

电信 诈骗 的 实质 是 利用 社会 工程 学 手段 , 抓 住人 性 的 弱点 ,通过 手机 、 固 定 电话 和 计算 
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机 网 络 等 方式 ,对 用 户 实施 的 一 种 犯罪 行为 。 可 以 从 以 下 几 个 方面 防范 电信 诈骗 。 

(1) 不 贪 焚 。 不 要 轻信 中 奖 的 电话 和 短信 ,要 明白 “天 下 没有 免费 的 午餐 ”这 一 基本 道 
理 , 当 接 到 不 明 身 份 的 人 员 发 过 来 的 所 谓 中 奖 短信 时 ,直接 将 其 删除 即 可 , 切 莫 急于 兑奖 或 
按 对 方 的 指示 支付 给 对 方 款 项 (如 预 交 个 人 所 得 税 、 预 交手 续费 等 ) 。 

(2) 不 轻信 。 不 要 相信 任何 “紧急 通知 ”。 当 在 ATM 自动 取款 机 取款 过 程 中 出 现 操作 
故障 时 ,不 要 相信 贴 在 ATM 机 旁 纸 条 上 的 任何 “紧急 通 
知 ” 上 的 所 谓 “ 银 行 值班 电话 ”, 而 应 拨打 银行 正规 的 客服 
专线 请 求 帮助 。 

(3) 多 防范 。 对 于 来 历 不 明 的 电话 要 谨慎 小 心 , 防 止 
不 法 分 子 借 机 诈骗 ,如 接 到 * 猜 猜 我 是 谁 ? 这 种 电话 时 ,不 
要 急于 说 出 对 方 的 名 字 ,也 不 要 透露 自己 更 多 的 信息 。 如 从 短信 记录 添加 
有 人 以 电信 工作 人 员 或 骨 充 民警 打 电 话 调查 欠 费 并 索要 从 通话 记录 添加 
个 人 信息 的 , 千 万 不 要 急于 转账 或 透露 个 人 信息 ,要 通过 
正规 渠道 核实 电话 是 否 欠 费 ,核实 对 方 的 身份 ,或 者 及 时 
拨打 “110” 进 行 报警 咨询。 

(4) 添加 到 黑 名 单 。 现 在 几乎 所 有 的 智能 手机 都 提 
供 了 黑 名 单 功能 ,或 通过 下 载 手 机 防火 墙 安全 软件 来 实现 
黑 名 单 操作 。 目 前 ,有 一 些 专业 的 手机 安全 软件 本 身 就 提 
供 了 对 骚扰 电话 的 自动 屏蔽 功能 。 对 于 已 确定 的 骚扰 电 图 7-9 手机 黑 名 单 操作 
话 ,可 以 直接 添加 到 黑 名 单 中 ,如 图 7-9 所 示 。 


7.3.3 垃圾 短信 


当 移 动手 机 几乎 成 为 人 手 一 机 的 通信 工具 时 , 随 着 手机 输入 法 的 不 断 丰 富 和 便捷 ,手机 
短信 已 成 为 人 与 人 之 间 一 种 极为 便捷 的 交流 方法 。 与 此 同时 ,利用 手机 短信 进行 诈骗 的 现 
象 开始 泛滥 ,不 仅 严重 侵犯 了 人 们 的 财产 安全 ,而 且 破 坏 了 正常 的 社会 经 济 秩序 。 

1. 垃圾 短信 的 概念 

垃圾 短信 是 指 未 经 用 户 同意 向 用 户 发 送 的 与 用 户 意愿 相 违背 的 短信 息 , 或 与 国家 法 律 
法 规 相 违背 的 短信 息 ,或 用 户 不 能 根据 自己 的 意愿 拒绝 接收 的 短信 息 。 垃 圾 信息 主要 包括 
广告 推销 ,诈骗 信息 、 违 法 信息 (如 代 开发 票 、 赌 博 、 博 彩 、 办 证 .电话 卡 复制 .色情 服务 、 枪 支 
出 售 等 )。 相 比 于 在 媒体 上 进行 广告 投放 ,群发 垃圾 短信 的 推广 成 本 要 低 得 多 ,而 且 事后 追 
查 相对 较 难 ,已 严重 影响 到 人 们 的 正常 生活 及 移动 运营 商 的 形象 ,甚至 是 社会 稳定 。 

诈骗 短信 是 垃圾 信息 中 一 种 特殊 的 形式 ,是 指 以 非法 占有 为 目的 ,向 手机 用 户 发 送 虚假 
或 隐瞒 真相 的 短信 ,骗取 公私 财物 的 行为 。 手 机 短信 诈骗 是 传统 诈骗 与 现代 通信 技术 相 结 
合 而 产生 的 一 种 新 型 诈骗 行为 。 诈 骗 短 信 要 求 接收 到 短信 的 用 户 进行 转账 或 汇款 ; 或 冒充 
银行 工作 人 员 诱 导 用 户 点 击 恶意 网 站 地 址 链接 ,访问 伪造 的 银行 钓鱼 网 站 ; 或 冒充 律师 .法 
官 .警察 等 工作 人 员 ,可 以 帮助 用 户 从 监狱 或 看 守 所 等 地 方 “ 捞 人 ”, 提 前 释放 等 。 

例如 ,有 些 不 法 分 子 在 获得 了 部 分 具有 特殊 背景 的 人 员 信 息 后 ,就 可 以 发 送 类 似 于 “你 
的 朋友 XX 正 在 XX 看 守 所 ,我 可 以 找 仆 通关 系 放出 ,事后 结算 ,联系 手机 1330401X X 
X Xx”。 这 类 诈骗 短信 正 是 利用 了 人 们 侥幸 心理 实施 诈骗 ,他 们 在 骗取 钱财 后 往往 会 失踪 。 





从 联系 人 添加 


手工 输入 号 码 
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其 实 , 只 要 静 下 心 来 略 作 思考 就 会 知道 这 是 不 可 能 的 ,因为 所 谓 * 捞 人 ?本 身 就 是 违法 的 ,不 
仅 捞 不 出 人 ,反而 有 可 能 会 导致 人 财 两 空 。 

再 如 , 当 你 收 到 类 似 * 恭 喜 您 的 手机 已 被 (中 国 最 强 音 》 选 为 场 外 幸运 号 ,您 已 获得 苹果 
手机 及 5 万 元 现金 ,请 你 登录 网 站 http://www. zxx66. com, 验 证 码 9800” 的 冒充 热门 电视 
节目 中 奖 类 短信 时 ,如 果 你 从 未 参加 过 相关 电视 节目 的 抽奖 活动 ,就 不 要 轻信 任何 此 类 短 
信 。 如 果 你 确实 参加 了 此 类 节目 ,可 到 官方 网 站 查询 或 通过 官方 联系 方式 确认 。 

2. 银行 “电子 密码 器 升级 ”诈骗 短信 

电子 密码 器 是 银行 面向 电子 银行 客户 推出 的 新 一 代 安 全 认证 工具 ,为 网 上 银行 ,电话 银 
行 、 手 机 银行 等 电子 银行 用 户 提 供 更 加 安全 、 可 靠 的 身份 认证 服务 。 它 是 继 串 盾 \ 口 令 卡 之 
后 的 新 型 安全 工具 ,通常 内 置 电源 和 密码 生成 芯片 ,外 带 显 示 屏 和 数字 输入 键盘 。 图 7-10 
所 示 的 是 一 款 工商 银行 的 电子 密码 器 产品 。 


锁定 状态 












光标 右 移 
秒 内 


开关 机 按键 


数字 按键 /小 数 点 


左 移 按 键 右 移 按键 


图 7-10 工商 银行 电子 密码 器 外 形 示 意图 


由 于 电子 密码 器 具有 开机 密码 保护 .无 须 安装 驱动 程序 、 便 于 携带 ,为 每 个 交易 产生 专 
属 的 密码 .无须 连 接 计 算 机 等 设备 等 特点 , 除 可 以 用 于 普通 的 网 上 银行 .手机 银行 .电话 银行 
外 ,还 可 用 于 iPhone/Android 手机 银行 iPad 网 上 银行 和 Mac 计算 机 网 上 银行 这 些 无 法 使 
用 盾 进 行 安全 认证 的 应 用 环境 , 极 大 地 方便 了 用 户 , 得 到 了 广泛 应 用 。 不 过 , 当 安 全 技术 
在 不 断 发 展 的 同时 ,不 法 分 子 的 诈骗 手段 也 在 不 断 翻 新 ,他们 可 以 通过 一 些 技术 手段 模拟 人 
们 熟悉 的 可 信 银 行 官方 号 码 发 送 钓鱼 欺诈 短 信 。 例 如 ,十 堰 市 茅 箭 区 陈 女士 接 到 一 条 由 号 
码 106071995588 发 来 的 短信 ,内 容 是 “尊敬 的 用 户 : 你 的 电子 密码 器 将 于 次 日 失效 ,请 尽快 
登录 www. icbco. com 进行 安全 升级 ,给 您 带 来 的 不 便 敬 请 谅解 ! "落款 是 “工商 银行 ”如 
图 7-11 所 示 的 是 类 似 的 短信 )。 之 后 , 陈 女士 的 女儿 根据 短信 中 的 网 址 登录 后 ,按照 页 面 提 
示 ,先后 输入 银行 卡号 .密码 .身份 证 号 等 信息 ,按照 提示 逐 项 完成 操作 后 ,网 站 显示 密码 修 
改 升级 成 功 。 稍 后 , 陈 女 士 收 到 工商 银行 短信 提示 , 称 其 工行 卡 上 322088 元 存款 全 部 被 

3. 安全 防范 方法 

对 于 垃圾 和 一 般 诈 骗 短信 , 当 用 户 对 短信 中 透露 的 相关 信息 有 疑问 时 ,一 定 要 通过 正规 
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图 7-11 利用 电子 密码 器 升级 的 诈骗 短信 


渠道 核实 账户 信息 ,不 要 独自 做 出 判断 并 急于 按 短信 提示 进行 操作 (如 银行 转账 ,访问 钓鱼 
网 站 等 ) ,也 不 要 轻易 将 卡号 ,存款 密码 个 人 身份 等 重要 信息 告知 他 人 。 通 常情 况 下 ,银行 、 
公安 .司法 部 门 都 不 会 通过 电话 询问 用 户 的 存款 密码 ,以 及 要 求 转账 。 
对 于 利用 银行 “电子 密码 器 升级 "这 类 新 型 的 电信 诈骗 ,由 于 人 们 对 银行 官方 号 码 一 般 
都 比较 熟悉 ,很 容易 轻信 由 银行 号 码 发 来 的 短信 ,并 按照 信息 中 的 提示 登录 钓鱼 网 站 ,结果 
造成 银行 卡号 和 密码 泄露 ,产生 的 后 果 非 常 严重 。 从 对 破获 的 此 类 案件 来 看 ,用 户 手 机 能 够 
接收 到 类 似 于 “95588” 等 银行 发 来 的 诈骗 电话 ,主要 有 以 下 两 种 手段 。 
(1) 不 法 分 子 伪装 成 “95588” 等 银行 官方 号 码 , 通 过 “ 伪 基 站 ”向 周边 用 户 手机 发 送 
短信 。 
(2) 手机 系统 存在 短信 欺诈 漏洞 ,恶意 APP 也 可 以 伪造 任意 号 码 向 手机 用 户 发 送 诈骗 
短信 。 
图 7-12 所 示 的 是 由 360 互联 网 安全 中 心 提供 的 利用 “官方 号 码 " 短 信和 钓鱼 诈骗 的 过 程 
示意 图 。 
伪装 官 
方 账号 
发 短信 





骗子 伪装 成 
银行 官方 号 
码 ,发 送 短 容 
信和 自己 的 详细 
资料 











图 7-12 短信 钓鱼 诈骗 的 过 程 示意 图 
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对 于 利用 银行 “电子 密码 器 升级 ”的 诈骗 短信 ,用 户 应 直接 与 银行 工作 人 员 联系 ,或 到 银 
行 网 点 柜台 办 理 , 绝 对 不 能 通过 短信 中 的 网 址 登录 网 银 。 也 就 是 说 ,提高 警惕 是 防范 此 类 诈 
骗 的 有 效 方 法 。 


7.3.4 二 维 码 安全 


扫描 二 维 码 已 经 成 为 手机 一 族 最 流行 的 查询 和 互动 方式 。 网 上 购物 、 添 加 好 友 、 物 品 真 
伪 鉴 别 ,通过 手机 扫 一 扫 就 可 以 轻松 完成 。 不 过 ,二 维 码 木马 钓鱼 诈骗 等 方式 已 开始 出 现 ， 
并 不 断 更 新 欺诈 手段 ,骗取 用 户 钱财 。 

1. 二 维 码 简介 

二 维 码 是 用 特定 的 几何 图 形 按 一 定 规 律 在 平面 (二 维 方向 ) 上 生成 的 黑白 相间 的 具有 唯 
一 性 的 图 形 。 巾 于 图 形 的 唯一 性 ,因此 二 维 码 具有 了 在 互联 网 上 进行 信息 验证 的 功能 。 在 
移动 互联 网 中 ,二 维 码 的 应 用 非常 广泛 ,如 产品 防伪 /溯源 、 广 告 推送 、 网 站 链接 、 数 据 下 载 、 
商品 交易 ,定位 /导航 、 电 子 和 凭证 ,车辆 管理 ,信息 传递 ,名 片 交 流 、Wi-Fi 共享 .手机 支付 等 。 
随 着 智能 手机 的 普及 ,手机 “ 扫 一 扫 ” 功 能 的 应 用 ,使 二 维 码 的 使 用 更 加 普遍 。 

手机 二 维 码 是 指 以 手机 等 移动 终端 和 移动 互联 网 作为 二 维 码 的 存储 、 解 读 、 处 理 和 传播 
渠道 而 产生 的 各 种 移动 应 用 服务 。 根 据 手机 承担 存储 二 维 码 信息 或 解读 二 维 码 信息 的 功能 
不 同 ,通常 又 可 将 手机 二 维 码 服务 分 为 手机 被 读 类 应 用 以 及 手机 主 读 类 应 用 两 大 类 。 

1) 手机 被 读 类 应 用 

手机 被 读 类 应 用 通常 是 以 手机 存储 二 维 码 作 为 电子 交易 或 支付 的 凭证 。 终 端 用 户 通过 
各 种 在 线 或 非 在 线 方式 完成 交易 后 ,二 维 码 电子 凭证 通过 移动 网 络 传输 并 显示 在 手机 屏幕 
上 ,可 通过 专用 设备 识 读 并 验证 交易 的 真实 性 。 这 类 应 用 的 特征 主要 有 以 下 几 点 。 

(1) 手机 以 实现 二 维 码 的 接收 和 存储 功能 为 主 , 不 对 其 承载 的 业务 信息 进行 解析 。 

(2) 需要 专用 设备 对 手机 二 维 码 图 像 进行 识 读 。 

(3) 识 读 后 的 业务 处 理 通 常 由 专用 设备 执行 ,而 与 手机 不 直接 相关 。 

这 类 业务 中 ,二 维 码 在 被 识 读 后 通常 还 需要 与 后 台 交 易 系统 交互 ,对 其 真实 性 和 有 效 性 
进行 检验 。 典 型 应 用 包括 电子 票 .电子 优惠 券 . 电 子 提货 券 . 电 子 会 员 卡 和 支付 凭证 等 。 

2) 手机 主 读 类 应 用 

手机 主 读 类 应 用 是 将 带 有 摄像 头 的 手机 作为 识 读 二 维 码 的 工具 ,手机 安装 二 维 码 识 读 
客户 端 软件 ,客户 端 通过 摄像 头 识 读 各 种 媒体 上 的 二 维 码 图 像 并 进行 本 地 解析 ,执行 业务 处 
理 , 还 可 能 与 应 用 服务 器 发 生 在 线 交 互 ,进而 实现 各 种 复杂 的 功能 。 这 类 应 用 的 特征 主要 有 
以 下 几 点 。 

(1) 二 维 码 图 像 一 般 印刷 在 纸 媒 、 户 外 等 平面 媒体 上 。 

(2) 依赖 于 手机 客户 端 软件 进行 识 读 。 

(3) 手机 客户 端 软件 执行 全 部 或 部 分 业务 处 理 。 

典型 应 用 如 名 片 、 短 信 、 上 网 等 ,根据 业务 内 容 的 获取 方式 还 可 分 为 “在 线 模式 ”与 “离线 
模式 ”。 名 片 应 用 是 手机 客户 端 将 从 二 维 码 图 像 中 识 读 的 信息 存 人 手机 本 地 的 通讯 录 ; 短 
信和 应 用 是 客户 端 从 二 维 码 图 像 中 读 取 内 容 和 特定 号 码 ,调用 手机 短信 功能 将 内 容 发 送 给 该 
号 码 ; 上 网 应 用 是 客户 端 从 二 维 码 图 像 中 读 取 网 站 地 址 ,并 自动 发 起 到 该 地 址 的 链接 ,获取 
信息 .广告 或 其 他 服务 。 目 前 ,互联 网 中 的 二 维 码 应 用 主要 是 手机 主 读 类 应 用 。 
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2. 事件 分 析 

这 里 通过 两 个 针对 淘宝 网 购 的 二 维 码 木 马 钓鱼 欺诈 事件 ,在 回顾 事件 过 程 的 基础 上 ,分 
析 利 用 二 维 码 进行 网 络 诈骗 的 特点 。 

(1) 2013 年 河南 淘宝 店主 王 某 接收 到 一 买 家 发 来 的 二 维 码 , 该 买 家 称 因 其 需求 量 较 
大 , 怕 买 错 款式 ,所 以 特地 制作 了 一 个 二 维 码 清单 ,要 
求 王 某 只 需要 用 手机 扫描 该 二 维 码 就 可 以 知道 自己 要 
购买 的 所 有 商品 。 结 果 王 某 未 经 思考 就 直接 扫描 了 该 
二 维 码 ( 图 7-13) ,随后 出 现 了 一 个 名 为 “购物 清单 ”的 
APK 文件 下 载 页 面 , 王 某 也 按照 系统 提示 进行 了 下 载 
安装 ,但 结果 只 有 几 行 乱码 ,根本 没有 看 到 任何 商品 信 
息 。 但 没 过 几 分 钟 , 王 某 的 计算 机 上 弹出 了 他 的 支付 
宝 在 异地 登录 的 提示 信息 。 当 他 感觉 有 些 不 妥 并 要 立 图 7-13 用 手机 扫描 接收 到 的 二 维 码 
即 修改 支付 宝 密码 时 , 却 发 现 密码 已 经 被 人 修改 。 

在 该 事件 中 ,黑客 向 王 某 发 送 了 隐藏 有 木马 钓鱼 网 站 的 二 维 码 , 当 王 某 下 载 了 该 木马 并 
自动 启动 后 , 王 某 手机 接收 到 的 所 有 短信 都 会 被 木马 拦截 并 与 王 某 的 手机 号 码 一 起 发 给 黑 
客 。 然 后 ,黑客 会 利用 其 手机 号 码 作为 支付 宝 用 户 名 ,进行 短信 重 置 密码 的 操作 ,从 而 成 功 
盗 刷 王 某 的 网 银 。 期 间 , 因 为 手机 短信 被 拦截 ,所 以 黑客 的 所 有 操作 王 某 完全 没有 察觉 。 

(2) 2014 年 的 一 天 ,受害 人 谢 某 在 淘宝 商城 购买 了 一 件 衣服 并 成 功 付款 后 , 却 收 到 了 
-个 由 卖家 发 来 的 二 维 码 ,并 告诉 谢 某 : 扫描 二 维 码 后 ,可 获 赠 免费 的 运费 险 , 如 果 运 输 途 
中 货物 丢失 或 损坏 ,可 以 直接 由 保险 公司 来 赔偿 。 对 于 免费 的 保险 , 谢 某 很 自然 地 用 手机 扫 
描 了 二 维 码 ,并 按照 提示 登录 了 “淘宝 网 站 ”( 其 实 是 假冒 淘宝 的 钓鱼 网 站 ) ,并 按 提示 输入 了 
淘宝 密码 ,支付 密码 及 手机 验证 码 等 信息 。 但 在 提交 后 ,系统 出 现 “ 运 险 费 授权 失败 ”的 提 
示 , 并 且 重复 了 多 次 输入 后 仍然 如 此 。 当 谢 某 产生 怀疑 时 , 却 发 现 原来 的 订货 记录 突然 变 成 
了 “确认 收 货 ”, 并 且 钱 已 经 打 到 了 对 方 账户 。 

与 上 一 欺诈 方式 不 同 的 是 ,本 事件 中 的 诈骗 对 象 由 原来 的 淘宝 卖家 变 为 买 家 ,以 赠送 
“ 运 险 费 "为 诱饵 诱骗 买 家 上 当 , 进 而 盗 取 其 支付 宝 账号 和 密码 ,并 实施 盗 刷 。 

二 维 码 支付 主要 应 用 于 移动 支付 领域 ,并 广泛 应 用 于 出 租车 、 商 场 . 超 市 等 支付 方式 中 。 
例如 ,“ 快 的 “ 滴 滴 ” 打 车 软件 ,以 及 一 些 商 场 和 超市 推出 的 扫 码 支付 ,只 要 对 准 二 维 码 “ 扫 一 
扫 ”, 就 可 以 直接 通过 支付 账户 付款 ,非常 方便 。 但 从 现状 来 看 ,一 方面 是 二 维 码 应 用 的 快速 
发 展 , 另 一 方面 是 二 维 码 技术 在 移动 支付 中 还 没有 相关 的 技术 标准 和 检测 认证 标准 ,存在 一 
定 的 应 用 风险 。 

3. 安全 防范 方法 

作为 一 项 新 应 用 ,二 维 码 因 其 使 用 便捷 、 技 术 要 求 不 高 ,从 其 一 问世 便 得 到 了 广泛 应 用 ， 
同时 二 维 码 技术 也 成 为 手机 病毒 .钓鱼 网 站 传播 的 新 渠道 。 除 针对 淘宝 网 店 的 欺诈 外 , 送 保 
险 、 送 礼品 .打折 等 借口 通常 也 是 二 维 码 钓鱼 过 程 中 常用 的 诱饵 , 当 用 户 一 旦 贪小 便宜 进而 
扫描 了 二 维 码 后 ,就 会 被 诱导 到 钓鱼 网 站 , 盗 取 用 户 的 个 人 信息 ,骗取 钱财 。 还 有 部 分 链接 
是 由 不 法 分 子 伪装 的 吸 费 木马 ,一 旦 下 载 就 会 导致 手机 自动 发 送信 息 并 扣 取 大 量 话费 。 

二 维 码 本 身 不 会 携带 恶意 代码 ,但 很 多 木马 软件 可 以 利用 二 维 码 下 载 。 然 而 ,很 多 手机 











246 网 络 攻 击 与 防御 技术 





目前 都 使 用 开放 式 的 手机 平台 .如果 下 载 了 这 样 的 木马 程序 ,木马 程序 就 会 “接管 "手机 的 短 
信 发 送 接口 ,在 用 户 不 知道 的 情况 下 发 送 短信 。 这 类 短信 往往 都 要 扣除 高 额 的 话费 。 

为 尽量 减少 利用 二 维 码 隐藏 的 木马 程序 带 来 的 危害 ,用 户 在 扫描 二 维 码 前 应 先 判断 发 
布 来 源 是 否 权 威 可 信 。 一 般 来 说 ,正规 的 报纸 .杂志 ,以 及 知名 商场 的 海报 上 提供 的 二 维 码 
是 安全 的 ,但 在 网 站 上 发 布 的 或 由 QQ 发 送 的 不 知 来 源 的 二 维 码 需 要 引起 警惕 。 如 果 通 过 
二 维 码 来 安装 软件 ,安装 好 以 后 ,最 好 先 用 杀毒 软件 扫描 一 遍 再 打开 。 当 部 分 用 户 习惯 于 使 
用 二 维 码 时 ,可 以 选用 有 识别 功能 的 扫 码 软件 进行 实时 监控 ,如 360 安全 卫士 等 。 

除 二 维 码 隐藏 的 恶意 代码 外 ,二 维 码 安全 问题 还 存在 于 二 维 码 扫描 软件 中 ,有 些 二 维 码 
软件 提前 内 置 了 恶意 代码 ,一 旦 安装 就 会 遭遇 恶意 广告 和 扣 费 等 问题 。 为 此 ,在 选择 二 维 码 
扫描 软件 时 也 一 定 要 到 官方 网 站 或 一 些 知名 网 站 下 载 。 


7.4 云 服务 的 攻防 


云 计算 (cloud computing) 是 一 种 基于 互联 网 的 计算 方式 ,通过 这 种 方式 ,共享 的 软 硬 
件 资源 和 信息 可 以 按 需 提供 给 计算 机 和 其 他 凡是 能 够 接 入 互联 网 的 设备 。 云 是 对 互联 网 的 
一 种 形象 的 比喻 , 云 计 算是 针对 传统 计算 而 言 的 , 它 将 传统 的 计算 方式 从 本 地 计算 机 延伸 到 
了 互联 网 上 ( 即 “ 云 端 ") ,通过 网 络 提供 可 伸缩 的 廉价 的 分 布 式 计算 能 力 。 


7.4.1 关于 云 计算 


2006 年 ,Google 提出 “ 云 计算 "的 概念 。 但 在 之 前 的 2002 年 ,Amazon 就 已 经 推出 了 云 
计算 产品 AWS(Amazon Web Service) 。 云 计算 虽然 是 一 个 新 名 词 , 却 不 是 一 个 新 应 用 。 自 
有 网 络 以 来 ,人 们 就 可 以 将 文件 上 传 到 服务 器 的 存储 空间 中 保存 ,需要 时 再 从 服务 器 存储 空 
间 中 下 载 文件 。 这 种 操作 方式 与 今天 人 们 使 用 的 百度 网 盘 、360 云 盘 、 金 山 快 盘 、 腾 讯 微 云 
等 模式 没有 本 质 上 的 区 别 , 今 天 的 应 用 方式 只 是 提供 了 更 加 友好 的 操作 界面 并 便于 操作 
而 已 。 

搜索 引擎 就 是 一 种 最 简单 且 在 网 络 服务 中 已 经 随处 可 见 的 应 用 工具 , 当 人 们 在 浏览 器 
的 搜索 引擎 中 输入 关键 词 时 ,搜索 引擎 便 会 在 整个 网 络 中 进行 搜索 ,并 给 出 结果 。 今 天 的 云 
计算 ,不 仅仅 只 进行 资料 搜寻 操作 ,还 可 以 为 用 户 提 供 各 种 计算 技术 、 数 据 分 析 等 服务 。 因 
此 ,就 像 搜索 引擎 一 样 , 云 计 算 也 是 一 种 服务 ,而 且 是 一 种 更 广泛 的 服务 。 如 图 7-14 所 示 ， 
利用 云 计算 ,人 们 用 接 入 互联 网 的 个 人 计算 机 、 手 机 、PAD、 电 视 机 等 终端 ,就 可 以 在 数秒 之 
内 处 理 数 以 千 万 计 甚 至 亿 计 的 信息 ,得 到 和 “超级 计算 机 ”同样 强大 效能 的 网 络 服 务 ,获得 更 
多 、 更 复杂 的 数据 计算 的 帮助 。 

云 计算 是 指 IT(Information Technology, 信 息 技术 ) 基 础 设施 的 交付 和 使 用 模式 , 指 通 
过 网 络 以 按 需 、 易 扩展 的 方式 获得 所 需 的 资源 (硬件 .平台 、 软 件 )。 提 供 资源 的 网 络 被 称 为 
“ 云 ”,“ 云 "中 的 资源 在 使 用 者 看 来 是 可 以 无 限 扩展 的 ,并 且 可 以 随时 获取 、 按 需 使 用 、 随 时 扩 
展 \ 按 使 用 付费 。 这 种 特性 经 常 被 称 为 像 使 用 水 电 一 样 来 使 用 IT 基础 设施 。 

简单 来 说 , 云 计算 机 可 以 将 用 户 所 需 的 软 硬 件 .资料 都 放 到 网 络 上 ,在 任何 时 间 、 任 何 地 
点 ,可 使 用 各 类 接 人 互联 网 的 IT 设备 (个 人 计算 机 、 手 机 ,平板 电脑 等 ) ,实现 数据 上 传 、 下 
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图 7-14 云 计 算 操作 示意 图 


载 . 运 算 等 目的 。 当 前 ,常见 的 云 服 务 有 公有 云 (public cloud) 与 私有 云 (private cloud) 两 
种 。 其 中 ,公有 云 是 基于 互联 网 (Internet) 的 服务 类 型 ,广大 互联 网 用 户 都 可 共享 一 个 服务 
提供 商 的 系统 资源 ,他 们 不 需要 架设 任何 设备 及 配备 管理 人 员 , 便 可 享有 专业 的 IT 服务 。 
公有 云 还 可 细 分 为 3 个 类 别 ,分 别 是 SaaS (Software-as-a-Service, 软件 即 服务 )、PaaS 
(Platform-as-a-Service ,平台 即 服务 ) 和 IaaS(CInfrastructure-as-a-Service ,基础 设施 即 服 务 ) 。 
例如 ,人 们 平时 使 用 的 Gmail、Hotmail、 网 上 相册 都 属于 SaaS 的 一 种 。 而 私有 云 则 是 由 单 
位 根据 信息 化 应 用 需要 在 内 部 网 络 (Intranet) 中 建立 的 云 服 务 系统 , 它 的 应 用 功能 与 公有 云 
相同 ,只 是 应 用 范围 受 限 而 已 。 

对 于 普通 互联 网 用 户 来 说 , 云 盘 ( 云 存储 ) 是 云 计算 中 最 为 普及 和 大 众 化 的 一 种 服务 方 
式 。 当 云 计算 系统 运算 和 处 理 的 核心 是 大 量 数据 的 存储 和 管理 时 , 云 计算 系统 中 就 需要 配 
置 大 量 的 存储 设备 ,这 时 的 云 计 算 系 统 就 转变 成 为 一 个 云 存 储 系统 ,所 以 云 存 储 是 一 个 以 数 
据 存储 和 管理 为 核心 的 云 计算 系统 。 云 存储 的 普及 ,真正 向 普通 用 户 证 明了 云 计算 时 代 的 
到 来 。 

在 移动 互联 网 时 代 , 个 人 计算 机 、 手 机 、 平 板 电脑 .数字 电视 等 成 为 人 们 经 常 使 用 的 上 网 
设备 。 如 何 实现 同一 信息 源 在 不 同 终端 上 方便 快捷 地 转 存 和 浏览 ,就 成 为 一 个 很 现实 的 应 
用 课题 。 云 服务 和 云 存储 是 目前 解决 跨 平 台 信 息 交 换 问题 比较 有 效 的 解决 方案 之 一 。 同 
时 ,手机 ,平板 电脑 等 移动 设备 的 更 新 很 快 ,而 在 更 新 后 这 些 设备 中 存储 的 各 种 数据 资料 的 
备份 也 是 一 个 不 得 不 面 对 的 问题 ,而 云 服务 平台 正好 可 以 很 好 地 解决 这 一 问题 。 

此 外 ,照片 ,视频 等 大 文件 的 分 享 也 需要 云 存 储 与 云 分 享 服务 的 支持 。 使 用 传统 的 邮件 
附件 或 FTP 方式 很 难 传送 几 十 兆 字 节 以 上 的 文件 ,而 且 即 使 能 够 上 传 ,分 享 起 来 也 很 不 方 
便 。 而 用 云 存 储 技术 来 分 享 一 个 大 文件 ,用户 只 需 向 对 方 提供 一 个 下 载 链接 ,对 方 就 可 以 随 
时 随地 进行 下 载 。 分 享 链接 不 仅 可 以 通过 电子 邮件 进行 传送 ,通过 微 博 、 网 站 等 方式 进行 分 
享 也 非常 方便 ,甚至 已 经 有 很 多 人 开始 使 用 云 盘 技 术 来 搭建 新 型 的 文件 下 载 服务 器 。 
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7.4.2 云 存储 的 安全 问题 


相 比 于 传统 硬盘 、U 盘 和 光盘 存储 方式 , 云 存储 具有 存储 量 大 (以 GB 为 单位 ) 、 存 储 成 
本 低 (基本 上 都 是 免费 ) ,数据 不 易 损 坏 不易 丢失 (由 云 存储 服务 商 负责 文件 的 安全 备份 ) 等 
安全 性 特点 。 不 过 ,由 于 云 存 储 作 为 一 种 基于 互联 网 的 应 用 ,不 仅 要 解决 互联 网 已 有 的 安全 
问题 ,同时 也 要 面 对 这 一 新 型 应 用 特有 的 挑战 与 安全 性 威胁 。 

1. 云 盘 成 为 恶意 程序 传播 的 新 途径 

根据 360 互联 网 安全 中 心 的 监控 ,2013 年 年 初 ,已 经 出 现 了 大 量 利用 云 存储 传播 恶意 
程序 的 事件 。 目 前 ,平均 每 天 截获 的 仅 利用 *360 云 盘 ”进行 传播 的 恶意 程序 文件 和 疑似 恶 
意 程序 文件 多 达 几 万 个 。 相 比 于 各 种 传统 的 病毒 传播 机 制 , 利 用 云 存储 空间 传播 病毒 ,成 本 
更 低 , 发 现 更 难 ,而 且 具 有 较 强 的 欺骗 性 。 

2. 敏感 信息 存在 安全 风险 

无 论 是 企业 还 是 个 人 ,都 有 可 能 在 云 存储 空间 中 存放 一 些 私密 或 机 密 的 文件 信息 ,如 涉 
及 个 人 隐私 或 单位 机 密 的 照片 .视频 文件 等 。 这 些 信息 通常 会 面临 两 类 主要 的 安全 威胁 : 
一 是 云 存储 空间 账号 被 盗 ; 二 是 云 存 储 服务 器 中 的 信息 被 非法 访问 。 而 对 于 绝 大 多 数 用 户 
来 说 , 云 存储 服务 器 本 身 的 安全 性 更 受 关注 。 用 户 只 知道 将 数据 放 到 了 "* 云 ” 端 ,但 至 于 存在 
哪里 ,怎么 存 的 ,用 户 均 一 概 不 知 。 这 种 “神秘 性 ”自然 而 然 地 失去 了 对 安全 性 的 认可 度 。 

针对 文件 存储 的 机 密 性 ,许多 云 盘 提供 商 采取 了 一 些 安全 技术 ,主要 有 严格 的 权限 和 密 
钥 管 理 , 通 过 数据 加 密 方式 保证 服务 器 中 的 数据 安全 ,通过 将 同一 用 户 的 资料 随机 分 散 地 存 
储 在 服务 器 的 不 同位 置 从 而 增加 入 侵 者 获取 完整 连续 数据 的 难度 等 。 如 图 7-15 所 示 ， 
360 云 盘 在 分 享 文件 时 ,对 于 机 密 文件 设置 了 访问 密码 ,以 防范 机 密 信息 的 不 必要 扩散 。 





w 已 成 功 创建 分 享 链接 (访问 这 三 : 32d9) 


发 送 分 享 戎 接 分 到 和 二 .社区 。 | 发 居 到 闻 箭 、 手 机 


复制 以 下 分 享 链接 , 发 给 QQ、 飞 信 好 友 吧 ! 
ht tp // EE i 3249 


复制 链接 和 密码 














二 和 人 而 到 人 部 EN 


图 7-15 为 机 密 信息 设置 访问 密码 
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3. 服务 器 损坏 风险 

云 存 储 服务 器 也 有 可 能 受到 如 地 震 、 水 灾 、 电 力 中 断 等 不 可 抗力 的 影响 而 发 生 数 据 损 
失 。 为 抵御 此 类 事故 风险 ,一些 云 服 务 提供 商 通 过 采取 将 多 个 数据 中 心 分 布 在 多 个 机 房 , 同 
时 数据 中 心 内 多 份 复制 并 配备 专门 的 备份 数据 中 心 的 方式 ,保证 数据 在 存储 到 数据 中 心 后 
不 会 因 事故 的 发 生 而 丢失 。 很 显然 ,服务 器 被 损坏 的 风险 越 小 , 云 服 务 提供 商 在 数据 备份 方 
面 的 投入 也 就 越 大 。 


7.4.3 ” 云 服务 的 安全 防范 


目前 ,关于 云 计算 与 安全 之 间 的 关系 一 直 存 在 两 种 对 立 的 说 法 : 持 有 乐观 看 法 的 人 认 
为 ,采用 云 计算 会 增强 安全 性 。 通 过 部 署 集中 的 云 计算 中 心 ,可 以 组 织 安全 专家 以 及 专业 化 
安全 服务 队伍 实现 整个 系统 的 安全 管理 ,避免 了 现在 由 个 人 维护 安全 ,由 于 不 专业 导致 安全 
漏洞 频 出 而 被 黑客 利用 的 情况 。 然 而 ,更 接近 现实 的 一 种 观点 是 ,集中 管理 的 云 计 算 中 心 将 
成 为 黑客 攻击 的 重点 目标 。 由 于 系统 相对 庞大 的 规模 以 及 前 所 未 有 的 开放 性 与 复杂 性 ,其 
安全 性 面临 着 比 以 往 更 为 严峻 的 考验 。 对 于 普通 用 户 来 说 ,其 安全 风险 不 是 减少 而 是 增 
pp 

从 应 用 来 看 , 云 计算 中 用 户 将 数据 存储 在 云端 ,因而 不 再 拥有 对 自己 数据 的 完全 控制 能 
力 , 只 能 依赖 云 服务 商 提供 的 安全 保障 ,使 用 户 能 够 信任 新 环境 下 的 数据 安全 及 完整 性 。 相 
比 于 传统 计算 模式 ,这 种 数据 新 的 访问 和 控制 模式 带 来 了 新 的 安全 挑战 。 为 此 ,用 户 一 般 应 
选择 规模 大 、 信 誉 度 高 .安全 措施 得 当 的 云 服 务 提供 商 , 以 减 小 安全 风险 。 另 外 ,对 于 重要 数 
据 , 当 确实 要 通过 云 盘存 储 时 ,建议 将 同一 份 文件 分 别 存放 在 不 同 的 云 盘 上 ,实现 用 户 端的 
安全 备份 。 

云 服务 中 的 另 一 个 问题 是 隐私 保护 问题 。 云 服务 要 求 大量 用 户 参 与 ,不 可 避免 地 出 现 
了 隐私 问题 。 很 多 用 户 担心 自己 的 隐私 会 被 云 服 务 提供 者 收集 。 正 因 如 此 ,虽然 在 加 入 云 
计划 时 很 多 厂商 都 承诺 尽量 避免 收集 用 户 隐私 ,即使 收集 到 也 不 会 泄露 或 使 用 ,但 不 少 用 户 
还 是 怀疑 厂商 的 承诺 ,他 们 的 怀疑 也 不 是 没有 道理 的 。 不 少 知名 厂商 都 被 指责 有 可 能 泄露 
用 户 隐私 ,并 且 泄 露 事 件 也 确实 时 有 发 生 。 对 于 隐私 保护 问题 ,可 从 以 下 几 个 方面 尽量 
避免 。 

(1) 行业 自律 。 云 服务 提供 商 应 规范 行业 行为 ,实现 自我 约束 ,协调 同行 利益 关系 , 维 
护 行业 间 的 公平 竞争 和 正当 利益 ,促进 行业 发 展 ,最 大 限度 地 保护 去 用 户 的 个 人 隐私 。 

(2) 加 强行 业 规范 。 一 方面 是 行业 内 对 国家 法 律 、 法 规 政策 的 遵守 和 贯彻 , 男 一 方面 是 
通过 行业 内 的 行规 行 约 制约 自己 的 行为 。 为 了 加 大 对 互联 网 和 云 服务 的 安全 管理 ,国家 发 
展 改革 委员 会 等 7 部 委 联合 发 布 了 (关于 下 一 代 互 联网 “十 二 五 发展 建设 的 意见 》, 其 中 强 
调 : 互联 网 是 与 国民 经 济 和 社会 发 展 高 度 相关 的 重大 信息 基础 。 加 强 网 络 与 信息 安全 保障 
工作 ,全 面 提升 下 一 代 互联 网 安全 性 和 可 信 性 。 加 强 域名 服务 器 数字 证 书 服务 器 .关键 应 
用 服务 器 等 网 络 核心 基础 设施 的 部 署 及 管理 ; 加 强 网 络 地 址 及 域名 系统 的 规划 和 管理 ; 推 
进 安全 等 级 保护 ` 个 人 信息 保护 风险 评估 、 灾 难 备份 及 恢复 等 工作 ,在 网 络 规划 、 建 设 、 运 
营 , 管 理 , 维 护 、 废 弃 等 环节 切实 落实 各 项 安全 要 求 ; 加 快 发 展 信息 安全 产业 ,培育 龙头 骨干 
企业 ,加 大 人 才 培 养 和 引进 力度 ,提高 信息 安全 技术 保障 和 支撑 能 力 。 

(3) 提高 个 人 的 安全 意识 。 云 服务 在 提供 了 快捷 使 用 的 同时 ,由 于 用 户 无 法 对 云端 资 
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源 实现 可 控 和 可 管 , 当 出 现 一 些 安 全 风险 时 ,将 束手无策 。 受 利益 的 驱使 ,不 能 确保 所 有 的 
云 服务 提供 商都 是 可 信 、 自 律 的 。 另 外 , 云 服务 中 的 用 户 数据 等 敏感 信息 ,也 已 成 为 黑客 地 
下 产业 链 的 重要 信息 来 源 。 为 此 ,对 于 用 户 来 说 ,最 有 效 的 办 法 是 将 凡是 涉及 个 人 或 单位 信 
息 的 敏感 数据 ,不 存放 在 云 盘 中 ,即使 部 分 云 盘 在 数据 存储 时 提供 了 数据 安全 加 密 功 能 ,但 
任何 安全 技术 和 措施 都 是 相对 的 。 

(4) 加 强 技术 管理 。 云 计算 作为 一 项 新 型 应 用 技术 ,其 安全 性 不 仅 涉及 传统 互联 网 中 
已 有 的 安全 问题 ,而 且 还 必须 面 对 新 的 安全 威胁 。 例 如 , 云 计算 环境 中 数据 的 传输 、 用 户 数 
据 加 密 等 问题 都 是 传统 互联 网 中 涉及 的 ,但 云 计算 架构 下 的 按 需 资源 分 配 . 跨 域 授权 、 隐 私 
保护 等 问题 ,必须 针对 云 计算 理论 体系 和 应 用 特点 ,做 到 有 的 放 矢 ,提出 有 效 可 行 的 安全 管 
理 技术 规范 并 加 以 实施 。 


7.5 网 络 购物 的 攻防 


网 络 欺诈 是 指 通过 使 用 网 络 进行 的 各 种 欺诈 行为 ,其 目标 的 是 通过 现代 信息 网 络 并 以 
欺骗 手段 非法 获取 用 户 名 、 密 码 ,银行 卡号 、 信 用 卡号 身份 证 号 码 、 手 机 号 码 、 邮 箱 地 址 、 家 
庭 地 址 等 信息 ,进而 用 于 非法 活动 。 网 络 欺 诈 行 为 的 发 生 数 量 每 年 都 在 增长 ,产生 的 社会 危 
害 很 大 ,尤其 是 随 着 移动 互联 网 的 广泛 应 用 ,网 络 欺诈 方式 不 断 翻新 ,影响 范围 不 断 扩大 , 受 
害 人 数 不 断 增长 。 与 此 相反 的 是 ,实施 网 络 欺诈 的 条 件 却 越 来 越 简 单 , 成 本 越 来 越 低廉 。 

木马 病毒 和 钓鱼 网 站 是 目前 网 络 欺诈 的 常用 工具 和 方法 ,由 网 络 欺诈 而 导致 的 经 济 损 
失 每 年 达到 几 十 亿 元 人 民 币 。 作 为 一 种 “ 低 投 入 、 高 产 出 ”的 网 络 犯罪 行为 ,网 络 欺 诈 给 普 i 
网 络 用 户 造成 的 经 济 损失 非常 巨大 。 国 内 专业 网 络 安全 机 构 的 统计 结果 显示 ,目前 主要 的 
网 络 欺 诈 形 式 和 方法 主要 有 网 络 兼 职 、. 虚 假 购物 ,网络 游戏 ,账号 被 次 .虚假 团购 .话费 充值 、 
消费 欺诈 `. 网 上 博彩 .虚假 票务 .网 购 木 马 、 投 资 理 财 、 视 频 交 友和 虚假 中 奖 等 。 网 络 欺诈 的 
传播 方式 主要 有 搜索 引擎 .即时 通信 (如 QQ 旺旺 等 ) 、 游 戏 平台 、 短 信 等 ,特别 是 不 法 分 子 
通过 QQ 发 送 钓鱼 网 站 或 欺诈 链接 ,以 诱骗 受害 者 上 当 。 本 节 通 过 对 几 个 典型 案例 的 分 析 ， 
介绍 网 络 购 物 (简称 网购 ”) 中 存在 的 安全 风险 及 应 对 方法 ,以 期 为 大 家 起 到 警示 作用 。 


7.5.1 网 络 游戏 网 站 钓鱼 欺诈 


无 论 是 传统 互联 网 还 是 移动 互联 网 时 代 , 网 络 游戏 都 是 最 吸引 用 户 和 最 为 广泛 的 应 用 
之 一 ,网 络 游戏 产业 的 发 展 呈 现 出 蓬勃 态势 。 同 时 ,针对 网 络 游戏 网 站 的 钓鱼 欺诈 现象 也 频 
繁 发 生 ,对 游戏 玩家 造成 了 很 大 危害 。 

1. 案例 分 析 

游戏 玩家 李 某 在 玩 某 一 网 络 游 戏 时 ,看 到 游戏 公共 频道 有 人 在 不 停 地 发 送 “X X 搜 索 
xX 游戏 装备 大 赠送 ”的 信息 。 于 是 , 李 某 便 到 信息 中 提 及 的 “XX 搜索 ”引擎 中 搜索 “x x 游 
戏 装备 大 赠送 "这 一 关键 词 ,果然 该 搜索 内 容 显示 在 该 搜索 引擎 的 首 条 。 当 李 某 不 假 思 索 地 
点 击 搜索 引擎 提供 的 链接 后 ,在 出 现 的 页 面 中 要 求 李 某 输入 游戏 账号 和 密码 。 李 某 按 提示 
输入 后 ,结果 系统 却 没有 反应 。 一 开始 , 李 某 以 为 网 站 出 了 故障 ,没有 太 在 意 。 但 几 个 小 时 
后 , 当 李 某 再 次 登录 游戏 后 , 却 发 现 自己 账户 中 的 “装备 ”和 “金钱 ”已 经 一 无 所 有 。 
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在 本 事件 中 ,不 法 分 子 不 是 通过 QQ 或 邮件 方式 将 以 “中 奖 ” 或 “大 赠送 ”为 名 义 的 钓鱼 
网 站 地 址 发 给 用 户 ,而 是 告诉 用 户 到 搜索 引擎 中 去 查找 该 中 奖 信息 的 链接 地 址 ,使 用 户 放松 
了 和 警惕。 此 类 事件 由 于 不 法 分 子 在 实施 欺诈 前 已 经 掌握 了 部 分 用 户 的 心理 ,以 被 大 家 普遍 
认为 可 信和 的 搜索 引擎 作为 行 骗 的 中 介 ,迷惑 性 较 强 。 

近年 来 ,网 络 游戏 已 经 成 为 一 个 强大 的 产业 ,在 互联 网 应 用 中 占据 着 重要 的 地 位 ,因此 
也 成 为 不 法 分 子 进行 钓鱼 欺诈 的 重点 。 不 法 分 子 通过 在 各 大 知名 游戏 网 站 发 送 欺诈 信息 ， 
出 售 一 些 明 显 低 于 市 场 价格 的 “装备 “游戏 币 ” 或 冒充 游戏 官方 发 送礼 品 等 行为 ,不 断 诈骗 
用 户 。 在 此 基础 上 ,再 利用 一 些 搜索 引擎 存在 的 漏洞 ,提升 欺诈 信息 的 排名 ,使 部 分 游戏 玩 
家 上 当 。 

2. 主要 防范 方法 

网 络 游戏 网 站 钓鱼 欺诈 的 实现 通常 由 3 个 环节 组 成 : 制作 钓鱼 网 站 、 提 升 在 特定 搜索 
引擎 中 的 排名 和 在 游戏 平台 发 送 诈骗 信息 。 其 中 ,最 为 关键 的 一 个 环节 是 通过 SEO(Search 
Engine Optimization ,搜索 引擎 优化 ) 或 参与 竞价 ,把 钓鱼 网 站 排 到 指定 搜索 引擎 的 首 条 ,以 
增加 搜索 结果 的 可 信和 度 和 被 点 击 的 可 能 性 。 为 此 ,防止 此 类 诈骗 的 主要 方法 是 用 户 可 分 别 
到 多 个 搜索 引擎 中 去 查找 ,如 果 被 查询 信息 仅仅 在 指定 的 搜索 引擎 中 排 在 首位 ,而 在 其 他 搜 
索引 擎 中 却 查 不 到 或 排名 靠 后 , 则 可 以 怀疑 为 虚假 信息 。 


7.5.2 网 络 退 款 骗局 


退 款 骗局 是 网 购 中 出 现 较 早 的 欺诈 方法 , 随 着 网 购 规模 的 迅猛 扩大 ,各 类 以 退 款 为 手段 
的 欺诈 层出不穷 ,并 不 断 变换 方式 ,以 更 大 限度 地 迷惑 和 欺骗 用 户 , 对 用 户 造成 很 大 的 经 济 

1. 案例 分 析 

2018 年 5 月 , 某 地 的 吉 先 生 在 国内 某 知 名 网 店 购买 了 一 件 电子 产品 , 当 完 成 付款 后 不 
久 便 收 到 了 一 个 自称 是 该 网 店 客服 的 电话 , 称 因 为 该 网 店 系统 临时 维护 升级 , 吉 先 生 的 订单 
失效 ,需要 他 填写 退 款 协议 办 理 退 款 。 

不 明 真相 的 吉 先 生 并 不 知道 该 网 店 退 款 办 理 中 并 没有 这 一 流程 ,于 是 打开 了 对 方 通过 
QQ 发 来 的 退 款 链接 。 根 据 页 面 提 示 , 吉 先生 依次 输入 了 自己 的 银行 卡号 、 密 码 、 身 份 证 号 
码 、 预 留 手 机 号 码 及 短信 验证 码 等 信息 。 在 单 击 “ 提 交 ” 按 钮 后 , 吉 先 生 便 收 到 了 一 条 告知 他 
的 银行 卡 被 消费 了 3000 元 的 短信 。 

在 该 案例 中 ,不 法 分 子 通过 非法 渠道 获取 了 网 购 的 客户 信息 ,利用 客户 付款 后 等 待 收 货 
这 一 时 间 段 假冒 网 店 卖家 或 客服 ,通过 电话 联系 方式 ,以 支付 系统 出 现 问题 或 升级 等 为 由 ， 
诱导 受骗 者 进行 退 款 操 作 。 随 后 ,不 法 分 子 会 给 受骗 者 发 送 退 款 网 站 地 址 链接 ,受骗 者 通过 
链接 打开 高 仿真 钓鱼 网 站 。 钓 鱼网 站 会 诱导 受骗 者 输入 支付 宝 账号 、 密 码 ,银行 卡号 、 身 份 
证 号 码 、 手 机 验证 码 等 个 人 信息 , 盗 刷 用 户 支 付 宝 和 银行 卡 。 

2. 主要 防范 方法 

以 上 诈骗 得 以 实施 有 两 个 非常 重要 的 条 件 ( 或 表象 ) : 一 是 吉 先 生 的 网 购 信息 如 此 之 快 
地 被 不 法 分 子 获得 ,进而 不 法 分 子 冒 充 为 网 店 客 服 实施 诈骗 ,说明 因 个 人 信息 泄露 而 导致 的 
危害 已 非常 严重 ,而 且 汇 露 速度 之 快 令 人 震惊 ; 二 是 由 于 被 骗 者 打开 的 钓鱼 网 站 的 仿真 度 
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极 高 ,普通 用 户 仅 赁 简单 的 视觉 判断 已 很 难 辨别 真 伪 ,而 制作 高 仿真 度 的 网 站 在 技术 上 早已 
没有 门槛 。 

对 于 该 类 骗局 ,可 通过 以 下 方法 防范 。 

(1) 在 网 购 过 程 中 ,凡是 借助 QQ 等 第 三 方 即时 通信 平台 进行 沟通 的 商家 ,一 般 都 存在 
安全 风险 ,因为 目前 知名 的 网 店 都 具有 独立 完善 的 客户 在 线 交流 工具 ,通常 不 需要 借助 QQ 
等 第 三 方 即时 通信 平台 来 完成 。 

(2) 如 果 遇 到 由 卖家 通过 QQ 或 邮件 等 方式 主动 发 送 来 的 链接 ,并 称 要 求 补 办 小 额 运 
费 险 .邮费 时 ,一 定 要 通过 官方 联系 方式 进行 确认 ,不 能 轻信 。 一 般 情 况 下 ,如果 存 在 小 额 运 
费 险 .邮费 等 服务 ,在 用 户 购买 商品 时 就 有 提示 ,不 需要 事后 再 提醒 客户 。 

(3) 一 旦 遇 到 需要 填写 账号 、 密 码 .身份 证 号 码 等 个 人 信息 时 ,对 网 站 的 真实 性 一 定 要 
进行 严格 的 审查 和 确认 。 必 要 时 ,也 可 以 使 用 一 些 安全 验证 工具 (如 360 安全 浏览 器 的 “网 
站 ”功能 ) 对 网 站 的 真实 性 进行 辨认 。 


7.5.3 购买 违禁 品 骗局 


信息 技术 是 一 把 双 刃 剑 , 一 方面 信息 技术 带 来 的 便利 已 惠及 普通 大 众 , 另 一 方面 利用 信 
息 技术 的 违法 行为 也 在 借助 于 互联 网 这 一 最 大 的 信息 平台 得 到 漫延 ,在 一 定 程度 上 影响 着 
人 们 生活 的 安全 和 社会 的 稳定 。 目 前 ,在 互联 网 上 随处 可 见 违法 买卖 仿真 枪 .违禁 药品 、 窃 
听 设 备 等 现象 ,而 且 由 这 些 违 法 行为 还 衍生 出 了 一 些 网 络 诈骗 行为 。 

1. 案例 分 析 

浙江 肖 女 士 因 怀疑 自己 在 外 地 工作 的 丈夫 有 外 过 ,在 朋友 的 介绍 下 ,通过 网 络 购 买 了 一 
个 手机 卡 监听 器 。 根 据 网 上 产品 介绍 ,只 要 把 该 手机 卡 监听 器 插入 手机 的 SIM 卡 插 槽 , 输 
入 要 监听 的 手机 号 码 , 就 能 够 起 到 电话 监听 、 短 信和 拦截、 卫星 定位 等 作用 。 

肖 女 士 通过 网 络 搜索 到 了 一 款 自 认为 功能 不 错 的 手机 卡 监听 器 (这 类 信息 网 络 上 随处 
可 见 ,图 7-16 所 示 的 便 是 随意 搜索 到 的 一 个 产品 宣传 和 销售 网 站 )。 根 据 网 上 提供 的 联系 
方式 , 肖 女 士 通过 QQ 与 对 方 联系 后 ,以 6000 元 购 得 了 该 手机 卡 监听 器 。 但 当 肖 女士 将 买 
到 的 手机 卡 监听 器 插入 自己 的 手机 后 ,什么 反应 都 没有 , 连 电话 也 不 能 打 。 肖 女士 在 联系 了 
卖家 后 ,卖家 称 要 交 10 000 元 的 卡 激活 费 。 肖 女士 只 得 又 汇款 给 对 方 ,之 后 对 方 称 还 要 交 
9980 元 购买 一 款 专 用 手机 。 

这 时 , 肖 女 士 意识 到 自己 可 能 被 骗 了 ,于 是 拒绝 继续 向 对 方 汇款 。 但 是 ,对 方 却 声称 ， 
如 果 肖 女士 不 照办 ,不 但 拿 不 到 手机 ,还 要 通知 她 的 丈夫 。 顾 及 和 丈夫 的 关系 , 肖 女 士 在 知 
道 已 经 上 当 受 骗 的 情况 下 ,还 是 将 钱 汇 给 了 对 方 。 然 而 , 汇 了 这 笔 款 后 ,对 方 又 向 肖 女 士 提 
出 支付 高 额 封口 费 的 要 求 。 无 奈 之 下 ,省 女士 只 得 向 警方 报案 。 

在 本 案例 中 ,不管 肖 女 士 购买 的 手机 卡 监 听 器 能 否 正 常 使 用 ,她 的 这 一 行为 本 身 就 是 违 
法 的 。 这 种 违法 行为 ,不 但 买 家 知道 ,而且 卖 家 早已 明白 。 所 以 ,卖家 也 是 利用 了 买 家 受骗 
后 不 敢 轻易 声张 这 一 弱点 .对 买 家 继续 进行 欺诈 。 这 种 通过 购买 违禁 品 后 ,再 进行 连环 诈骗 
的 现象 ,危害 非常 严重 。 

2. 主要 防范 方法 

不 法 分 子 通过 网 络 销售 所 谓 的 监听 器 ,主要 瞄准 了 用 户 的 以 下 心态 : 一 是 急于 将 视 他 















国内 最 专业 、 最 权威 的 手机 定位 监听 设备 。 


一 流 的 服务 品质 多 年 的 技术 积累 顶尖 的 技术 团队 
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图 7-16 网 上 随处 可 见 的 出 售 监听 设备 的 网 站 


人 秘密 ; 二 是 对 设备 缺乏 必要 的 了 解 ; 三 是 受骗 者 通常 不 敢 声 张 。 另 外 ,不 法 分 子 实际 提 
供 的 设备 ,其 功能 根本 不 像 网 站 上 宣传 的 那么 强大 ,多 数 情 况 下 ,甚至 就 不 具备 任何 功能 。 
例如 ,本 案例 中 的 手机 卡 监听 器 根本 就 没有 监听 功能 。 这 样 , 即 使 被 查处 ,也 可 以 减轻 法 律 
责任 。 

不 法 分 子 运用 “ 货 到 付款 ”的 手段 , 诱 使 受骗 者 一 步 步 误 入 陷阱 。 在 到 货 后 ,又 会 以 密码 
激活 ,开启 PIN 码 等 方式 ,继续 诱骗 受骗 者 不 断 给 其 汇款 。 其 实 , 这 类 网 购 诈骗 的 防范 方法 
很 简单 : 一 是 不 轻信 网 络 广 告 , 不 猎奇 ; 二 是 不 做 违法 的 交易 。 


习 是 


. 结合 传统 桌面 互联 网 应 用 , 试 分 析 移 动 互联 网 的 应 用 特点 。 

. 以 智能 手机 为 例 , 说 明 移 动 终端 的 节能 和 定位 功能 。 

. 名 词 解释 : 移动 搜索 ,移动 社交 网 络 、 自 媒体 、 隐 私 保 护 。 

. 什么 是 中 间 人 攻击 ? 结合 移动 互联 网 应 用 , 试 分 析 “ 中 间 人 攻击 ”的 防范 方法 。 

试 分 析 软 键盘 的 应 用 特点 ,如 何 防范 针对 软 键盘 应 用 的 攻击 ? 

. 名 词 解释 : 道 向 工程 .二 次 打包 、 应 用 加 固 、 签 名 验证 。 

. 什么 是 双 因子 认证 ? 什么 是 伪 双 因子 认证 ? 如 何 防范 移动 应 用 中 的 伪 双 因子 认证 ? 
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立 用 , 试 分 析 骚 扰 电 话 的 一 般 特征 以 及 防范 方法 。 

应 用 , 试 分 析 诈骗 电话 的 一 般 特 征 以 及 防范 方法 。 

合 日 常 应 用 , 试 分 析 垃 圾 短信 的 一 般 特征 以 及 防范 方法 。 

结合 日 常 应 用 , 试 分 析 二 维 码 的 应 用 特点 以 及 存在 的 安全 问题 ,如 何 进行 防范 ? 
么 是 云 计 算 ? 云 计算 存在 哪些 应 用 风险 ? 如 何 防范 ? 

合 日 常 应 用 , 试 分 析 针 对 网 络 购物 攻击 的 防范 方法 。 
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